phpBB论坛软件曝身份认证绕过漏洞,官方紧急发布3.3.17修复更新
来源:互联网
时间:2026-07-14 20:38:12
开源论坛软件phpBB近日被曝存在一项严重的身份认证绕过漏洞,攻击者利用该漏洞可直接登录任意用户账号,包括论坛管理员。目前,官方已紧急发布3.3.17版本安全更新,以修复此安全隐患。

该漏洞由安全公司Aikido发现并通过HackerOne平台向官方披露。据披露信息,此漏洞已存在于phpBB软件中
超过10年
漏洞利用方式与潜在危害
由于phpBB论坛默认会公开用户列表,攻击者能够轻易获取目标用户名。成功利用漏洞后,攻击者可以:
- 冒充管理员或普通用户身份登录。
- 读取用户的私信等敏感信息。
- 若获取管理员权限,可对论坛内容进行。
完整的读取、修改和删除操作
风险边界与修复建议
值得庆幸的是,phpBB的后台管理面板(Admin Control Panel,ACP)采用了独立的密码保护机制,因此该漏洞
暂时无法直接导致远程代码执行(RCE)风险
phpBB官方强烈建议所有使用受影响版本的用户立即升级至最新发布的3.3.17版本,以彻底消除这一安全威胁。对于无法立即升级的用户,应密切关注官方通告并采取其他临时性防护措施。