phpBB'de Kritik Açık: Tek İstekle Tüm Hesaplar Ele Geçirilebiliyor Siber Güvenlik

phpBB'de Kritik Açık: Tek İstekle Tüm Hesaplar Ele Geçirilebiliyor

phpBB forum yazılımında keşfedilen kritik güvenlik açığı (PTT-2026-004), saldırganların tek bir istekle şifre gerektirmeden herhangi bir hesabı ele ge

Popüler forum yazılımı phpBB'de, saldırganların herhangi bir kullanıcının hesabını (yöneticiler dahil) tek bir kimlik doğrulamasız istekle ve şifre gerektirmeden ele geçirmesine olanak tanıyan kritik bir güvenlik açığı keşfedildi. PTT-2026-004 kodlu ve CVSS puanı 9.4 olarak derecelendirilen bu açık, henüz resmi bir CVE kimliği almayı bekliyor. Güvenlik açığı, Pentest-Tools.com'dan Dan Stefan Alexandru tarafından bulundu ve 4 Haziran'da phpBB'ye bildirildi.

phpBB'nin 3.3.16'ya kadar olan tüm sürümleri, varsayılan veritabanı kimlik doğrulama modunda bu açıktan etkileniyor. Bu, standart bir kurulumun kutudan çıktığı gibi savunmasız olduğu anlamına geliyor. 4.0.0 alpha sürümü de bu açığa karşı hassas. Saldırıyı gerçekleştirmek için yalnızca hedef kullanıcının kullanıcı adını bilmek yeterli. Varsayılan bir forumda üye listesi genellikle herkese açık olduğu için, saldırgan kolayca isimleri okuyarak bir kurban seçebiliyor.

Başarılı bir istek, saldırgana seçilen hesap için geçerli bir oturum kazandırıyor. Bu oturumun açtığı erişim, kurbanın yetkilerine bağlı olarak değişiyor. Saldırgan, özel mesajlar ve hedef kullanıcının görebildiği tüm içeriğe erişebiliyor. Eğer kurban bir yönetici ise, forum genelinde tam okuma, yazma ve silme yetkisi elde ediyor. Ancak, Yönetim Kontrol Paneli'ne (ACP) erişim hâlâ yönetici şifresini gerektiriyor. Bu son engel, saldırganın yetki yükseltmesini sınırlasa da, forum düzeyindeki ele geçirme ile açığa çıkan özel içerik ve üye verilerini korumaya yardımcı olmuyor.

İkinci bir güvenlik açığı ise (PTT-2026-005), OAuth girişi kullanan forumları etkiliyor. CVSS puanı 8.3 olan bu açık, siteler arası istek sahteciliği (CSRF) zafiyetini OAuth durum doğrulamasının eksikliğiyle birleştiriyor. Saldırgan, giriş yapmış bir kurbana özel hazırlanmış bir URL'yi yükletirse, kendi OAuth kimlik bilgilerini kurbanın hesabına sessizce bağlayabiliyor. Bu bağlantı, bir gönderi veya özel mesajdaki resim etiketine gizlenebiliyor ve sayfa yüklendiğinde otomatik olarak tetikleniyor. phpBB her iki sorunu da 6 Haziran'da yayınlanan 3.3.17 sürümünde giderdi. Geliştiriciler, yöneticileri acilen güncellemeye çağırdı. Hemen yama yapamayan ve OAuth etkin olan forumlar, ikinci açığı kapatmak için OAuth'u devre dışı bırakıp veritabanı kimlik doğrulamasına dönebilir ve OAuth hesap tablosunu tanınmayan girişler için denetleyebilir.

Paylaş: