phpBB corrige falha de dez anos que permite acesso total

Como a falha funciona

Duas vulnerabilidades críticas no phpBB, rastreadas como CVE-2026-48611 (CVSS 9.4) e CVE-2026-48612 (CVSS 8.3), permitiam que atacantes assumissem qualquer conta de usuário, incluindo administradores, com um único request HTTP sem autenticação. A falha existia há dez anos e foi corrigida na versão 3.3.17, lançada em 6 de junho de 2026.

A vulnerabilidade CVE-2026-48611 é um bypass de autenticação que explora a ausência de validação do header Host na rotina de geração de URLs usada pelo recurso de redefinição de senha. O phpBB confia no header controlado pelo cliente em vez de vincular a geração de URLs a um hostname canônico configurado. Com um único request HTTP não autenticado contendo um username conhecido, o atacante obtém uma sessão válida como qualquer usuário ativo do fórum.

A descoberta foi feita por Dan Stefan Alexandru, da equipe de pesquisa do Pentest-Tools.com, que reportou a falha ao phpBB em 4 de junho de 2026. A correção foi lançada dois dias depois, na versão 3.3.17. A classificação CWE-305 (Authentication Bypass by Primary Weakness) reflete a gravidade do problema: instalações padrão com auth_method=db, a configuração padrão, estão expostas.

Segunda falha ataca OAuth

A segunda vulnerabilidade, PTT-2026-005, afeta fóruns que configuraram login via OAuth com Google, Facebook ou Bitly. Ela encadeia uma falha de cross-site request forgery (CSRF) com a ausência de validação do parâmetro state do OAuth. O atacante cria uma URL maliciosa que, quando acessada por uma vítima logada, vincula automaticamente a credencial OAuth do atacante à conta da vítima — sem necessidade de clique adicional.

O link malicioso pode ser escondido em uma tag de imagem em um post ou mensagem privada no próprio fórum, disparando assim que a página carrega. A vinculação fraudulenta persiste no banco de dados do phpBB até que um administrador ou a própria vítima perceba e remova manualmente a entrada.

Impacto e versões afetadas

Todas as versões do phpBB anteriores à 3.3.17, executando com auth_method=db (o padrão), são afetadas pela CVE-2026-48611. A versão 4.0.0-a2 (alpha) também é vulnerável. Em uma instalação padrão, a lista de membros é pública, permitindo que o atacante enumere usernames sem nenhum acesso prévio. Fóruns internos, como painéis de suporte corporativo, também estão expostos se o atacante tiver acesso à rede interna.

O impacto de uma exploração bem-sucedida é significativo: para contas regulares, o atacante acessa mensagens privadas e conteúdo restrito. Para contas de administrador, obtém acesso total de leitura, escrita e exclusão em todo o fórum. A única barreira restante é o Administration Control Panel (ACP), que exige reautenticação separada com a senha da conta. Isso limita a escalada, mas não protege o conteúdo privado e os dados de membros já expostos pelo sequestro em nível de fórum. Falhas similares de sequestro de conta foram recentemente corrigidas no GitLab, enquanto outro zero-day de autenticação ganhou PoC pública no Check Point VPN.

Como se proteger

Atualize imediatamente para o phpBB 3.3.17 ou superior. Não existe workaround de configuração que corrija completamente a CVE-2026-48611 em versões anteriores. Após a atualização, faça uma revisão completa das contas de usuário, especialmente administradores, buscando sessões ou logins suspeitos anteriores à correção.

Se o fórum usa OAuth e não é possível atualizar imediatamente, desative o login OAuth e reverta para autenticação por banco de dados. Em seguida, audite a tabela de contas OAuth no banco de dados procurando por vinculações que nenhum usuário reconheça. Restrinja o acesso à lista de membros, se possível, para dificultar a enumeração de usernames. Monitore logs de acesso por padrões de requests de redefinição de senha anômalos.

Fontes

Pentest-Tools.com (pesquisa original) | Infosecurity Magazine | BleepingComputer