pentest IA Aikido Aikido Attack a découvert une faille critique permettant de contourner l'authentification dans la dernière version du logiciel du forum phpBB, ce qui peut entraîner l'exécution de code à distance et la prise de contrôle totale du système sous-jacent. Cette vulnérabilité est exploitable dans la configuration par défaut et ne nécessite aucune connaissance particulière. Si vous utilisez la version 4.0.0-a2 ou 3.3.16 et les versions antérieures, effectuez immédiatement la mise à jour vers master (aucune version 4.x sûre n'est encore disponible) et 3.3.17, respectivement, afin d'éviter toute compromission.
Le 2 juin, nous avons signalé cette faille aux responsables de phpBB via leur programme de divulgation des vulnérabilités HackerOne. Après une évaluation rapide, il n'a fallu que quatre jours pour qu'un correctif efficace soit publié dans la nouvelle version 3.3.17, le 6 juin. Vous trouverez plus de détails sur cette mise à jour dans les notes de mise à jour officielles.
Il y a un petit changement susceptible d'entraîner des incompatibilités si l'authentification OAuth est activée sur votre instance de phpBB, car le gestionnaire d'URI de redirection se trouve désormais à l'adresse /user/oauth/authenticate/.... Mis à part ce changement, la mise à jour devrait se dérouler sans encombre.
Afin de laisser aux administrateurs le temps de procéder à la mise à jour, nous ne publierons pas pour l'instant les détails techniques, mais nous publierons prochainement un deuxième article à ce sujet.
Nous avons déjà informé en privé les administrateurs des plus grandes communautés en ligne de cette mise à jour, mais nous vous demandons de bien vouloir nous aider à contacter toutes les instances dont vous avez connaissance et qui n'auraient pas encore reçu cette information.
À propos de phpBB
phpBB est un logiciel de forum open source datant de l'année 2000, qui est encore utilisé aujourd'hui. Vous reconnaîtrez peut-être certaines des communautés hébergées par phpBB, comme https://forum.joomla.org ou https://forums.debian.net. À lui seul, le répertoire des sites phpBB compte plus de 6 millions de membres, sans compter les nombreuses autres instances non répertoriées.
En raison de sa popularité et de son caractère open source, il a été la cible, à l'époque, de nombreuses attaques ciblées exploitant des failles « zero-day » sur Internet. La plus notable est celle du ver « Santy » en 2004, qui a exploité une vulnérabilité permettant l'exécution de code à distance (RCE). C'était la première fois qu'un moteur de recherche tel que Google était utilisé pour repérer et compromettre instantanément des dizaines de milliers d'instances.
La surface d'attaque est vaste, de nombreuses fonctionnalités ayant été progressivement intégrées au code au fil des ans. Et le PHP brut n'est pas vraiment considéré comme le framework le plus sûr. Cela dit, ils disposent d'un programme de divulgation des vulnérabilités bien structuré sur HackerOne, grâce auquel les chercheurs peuvent faire corriger leurs découvertes.
De nos jours, on le considère comme relativement sûr. Mais nous disposons de nouvelles preuves indiquant qu'il comporte encore des failles très graves.
La vulnérabilité
Une simple requête HTTP non authentifiée suffit pour obtenir une session valide sous n'importe quel identifiant. Dans une installation par défaut de phpBB, la liste des membres est publique, ce qui facilite grandement le choix d'une cible.
.jpg)
Ce qu'un pirate peut faire avec cette session dépend du type de compte. Un utilisateur standard expose les messages privés et tout le contenu auquel il a accès. Un compte administrateur offre un accès complet en lecture, écriture et suppression sur l'ensemble du forum et, dans la dernière version, ouvre la voie à l'exécution de code à distance.
La vulnérabilité affecte toutes les versions jusqu'à la version 3.3.16 et la version 4.0.0-a2 incluses.
Chronologie
- 2 juin 2026, 20 h 22 - Rapport transmis au programme VDP d'https://hackerone.com/phpbb
- 2 juin 2026, 20 h 31 - Le signalement a été examiné par l'équipe de phpBB (oui, en seulement 9 minutes !)
- 6 juin 2026, 16 h 26 - La version 3.3.17, accompagnée d'un correctif, est disponible
