Se descubrió una vulnerabilidad de omisión de autenticación en el software de foros phpBB que permite acceder a cualquier cuenta, incluidos los administradores. El fallo, presente durante 10 años, es fácil de explotar y afecta a las versiones 3.3.16 y anteriores, así como a la 4.0.0-a2. Se recomienda actualizar inmediatamente a la versión 3.3.17 para evitar el compromiso de los datos.



Una vulnerabilidad de omisión de autenticación de 10 años descubierta en el software de foros phpBB permite que un atacante inicie sesión como cualquier usuario, incluidos los administradores.

El fallo no tiene un identificador y es trivial de explotar con una sola solicitud HTTP. Afecta a las versiones de phpBB 4.0.0-a2 o 3.3.16 y anteriores.

Investigadores de la empresa de seguridad de aplicaciones Aikido encontraron el error el 2 de junio y lo reportaron a través del Programa de Divulgación de Vulnerabilidades de HackerOne del desarrollador.


phpBB respondió al informe inmediatamente y solucionó el problema el 6 de junio en la versión 3.3.17 [https://www.phpbb.com/community/viewtopic.php?t=2672170] del software.

Según Aikido, el fallo se introdujo en el código base de phpBB hace 10 años, afectando a todas las versiones de las ramas de lanzamiento 3.x y 4.x, hasta la 3.3.16 y 4.0.0-a2. Para la versión 4.x, aún no hay una corrección disponible.

phpBB es una plataforma de foros web gratuita y de código abierto basada en PHP que gozó de máxima popularidad en la década de 2000 y principios de 2010. Hoy en día, sigue impulsando miles de foros en todo el mundo.

Aikido afirma que la explotación del error no requiere ninguna configuración especial, ya que puede activarse con los ajustes predeterminados.

“La vulnerabilidad es explotable en la configuración predeterminada y no requiere conocimientos especiales”, dice el informe de Aikido [https://www.aikido.dev/blog/phpbb-authentication-bypass-rce].

“Si utiliza la versión 4.0.0-a2 o la 3.3.16 y anteriores, actualice inmediatamente a master (aún no hay versión 4.x segura) y a la 3.3.17, respectivamente, para evitar el compromiso”.

El acceso de administrador podría permitir a los atacantes ver todos los mensajes privados almacenados en el foro, crear, modificar o eliminar contenido y cuentas de usuario, suplantar al personal o desfigurar los sitios.

La elección de objetivos también es sencilla, ya que la lista de miembros en los foros phpBB es pública por defecto.

Aikido señala que la ejecución remota de código (RCE) no es posible debido a una comprobación de contraseña independiente que protege el Panel de Control de Administración.

Los investigadores reservaron todos los detalles técnicos por ahora para permitir que los administradores de los foros tengan tiempo suficiente para aplicar las actualizaciones de seguridad e incluso contactaron a administradores de grandes foros basados en phpBB para alertarlos directamente.

Un detalle a tener en cuenta es que la actualización puede causar que los foros que utilizan la autenticación OAuth dejen de funcionar, ya que el gestor de redireccionamiento de OAuth se ha trasladado a una nueva ubicación, pero esto debería ser una solución sencilla en la mayoría de los casos.

Aikido prometió publicar los detalles completos del fallo en un informe futuro, pero no proporcionó un cronograma específico.

Fuente:
BleepingComputer