phpBB forum yazılımında kritik bir güvenlik açığı keşfedildi. PTT-2026-004 koduyla izlenen ve CVSS puanı 9.4 olan bu açık, saldırganların tek bir doğrulanmamış istekle herhangi bir hesabı (yöneticiler dahil) şifre gerektirmeden ele geçirmesine olanak tanıyor. Pentest-Tools.com'dan Dan Stefan Alexandru tarafından keşfedilen açık, 4 Haziran'da phpBB'ye bildirildi ve henüz resmi bir CVE kimliği atanmadı.
phpBB'nin 3.3.16'ya kadar olan tüm sürümleri, varsayılan veritabanı kimlik doğrulama modunda bu açıktan etkileniyor. Yani standart bir kurulum, kutudan çıktığı gibi savunmasız durumda. 4.0.0 alpha sürümü de bu açığı içeriyor. Saldırıyı gerçekleştirmek için yalnızca hedef kullanıcının kullanıcı adını bilmek yeterli. Varsayılan bir forumda üye listesi herkese açık olduğundan, saldırgan kurbanını seçmek için isimleri okuyabilir.
Başarılı bir istek, saldırgana seçilen hesap için geçerli bir oturum sağlar. Bu, kurbanın yetkilerine bağlı olarak özel mesajlara, içeriğe ve yönetici ise forum üzerinde tam okuma, yazma ve silme yetkisine erişim anlamına gelir. Ancak Yönetim Kontrol Paneli'ne (ACP) erişim için yine de yönetici şifresi gerektiğinden, saldırganın yapabilecekleri sınırlıdır. Yine de bu, forum düzeyindeki ele geçirme ile özel içerik ve üye verilerinin korunmasız kaldığı anlamına geliyor.
İkinci bir güvenlik açığı (PTT-2026-005) ise OAuth girişi kullanan forumları etkiliyor. CVSS puanı 8.3 olan bu açık, siteler arası istek sahteciliği (CSRF) zafiyeti ile eksik OAuth durum doğrulamasını birleştiriyor. Saldırgan, oturum açmış bir kurbana hazırlanmış bir URL'yi yükletirse, kendi OAuth kimlik bilgisini sessizce kurbanın hesabına bağlayarak tıklama gerektirmeden tam hesap ele geçirme sağlayabiliyor. phpBB her iki sorunu da 6 Haziran'da yayınlanan 3.3.17 sürümünde düzeltti. Geliştiriciler, yöneticileri hemen güncellemeye çağırıyor.