phpBB rregullon dobëti të autentifikimit që zgjati dhjetë vjet

Një dobësi në autentifikim, e cila ekziston në softuerin e forumit phpBB për më shumë se dhjetë vjet, lejon një sulmues të hyjë në sistem si çdo përdorues, përfshirë edhe administratorët. Problemi, i thjeshtë për t’u shfrytëzuar me një kërkesë HTTP, prek versionet 4.0.0‑a2 dhe 3.3.16 dhe më të vjetra, dhe nuk ka një identifikues CVE.

Kërkuesit e kompanisë së sigurisë së aplikacioneve Aikido e zbuluan këtë dobësi më 2 qershor dhe e raportuan përmes programit HackerOne të zhvilluesit. phpBB reagoi menjëherë dhe publikoi një përmirësim në versionin 3.3.17 më 6 qershor. Sipas Aikido, kodi i plagosur është futur në bazën e kodit të phpBB para dhjetë vjetësh, duke prekur krejt degët 3.x dhe 4.x deri te versionet përmendura; për degën 4.x ende nuk ka një rregullim të disponueshëm.

Shfrytëzimi i dobësisë nuk kërkon konfigurime speciale, pasi mund të aktivizohet në cilësimet e parazgjedhura. “Dobëtia mund të shfrytëzohet në konfigurimin e parazgjedhur dhe nuk kërkon njohuri të veçanta,” tregon raporti i Aikido. “Nëse përdorni versionin 4.0.0‑a2 ose 3.3.16 dhe më të vjetra, përditësoni menjëherë në master (nuk ka ende një version të sigurt për 4.x) dhe përkatësisht në 3.3.17, për të shmangur komprometimin.” Një hyrje si administrator mundëson leximin e të gjitha mesazheve private, krijimin, modifikimin ose fshirjen e përmbajtjes dhe llogarive, apo madje edhe shkatërrimin e faqes. Për shkak të një kontrolli të veçantë të fjalëkalimit, ekzekutimi i largët i kodit (RCE) nuk është i mundur. Aikido ka kontaktuar drejtpërdrejt administratorët e forumeve të mëdha phpBB për t’u paralajmëruar dhe ka zgjedhur të mos publikojë detajet teknike për momentin, në mënyrë që të dhëna të mjaftueshme të ketë për të aplikuar përditësimet. Për përdoruesit që përdorin autentifikim OAuth, përditësimi mund të shkaktojë ndërprerje, por kjo pritet të zgjidhet lehtësisht.