KI-Penetrationstests Aikido Aikido Attack hat eine kritische Sicherheitslücke in der neuesten Version der Forensoftware entdeckt, die eine Umgehung der Authentifizierung ermöglicht phpBB, was zur Ausführung von Remote-Code und damit zur vollständigen Übernahme des zugrunde liegenden Systems führen kann. Die Sicherheitslücke ist in der Standardkonfiguration ausnutzbar und erfordert keine besonderen Kenntnisse. Wenn Sie Version 4.0.0-a2 oder 3.3.16 und darunter verwenden, führen Sie umgehend ein Upgrade auf master (noch keine sichere 4.x-Version verfügbar) bzw. 3.3.17, um Sicherheitslücken zu vermeiden.
Am 2. Juni haben wir den Fund über das HackerOne-Programm zur Offenlegung von Sicherheitslücken an die phpBB-Entwickler gemeldet. Nach einer kurzen triage dauerte es nur vier Tage, bis am 6. Juni mit der neuen Version 3.3.17 ein funktionierender Patch veröffentlicht wurde. Weitere Einzelheiten zu diesem Update finden Sie in den offiziellen Versionshinweisen.
Es gibt eine geringfügige Änderung mit Kompatibilitätsproblemen, falls in Ihrer phpBB-Instanz die OAuth-Authentifizierung aktiviert ist, da sich der Redirect-URI-Handler nun unter /user/oauth/authenticate/...Abgesehen von dieser Änderung sollte das Upgrade reibungslos verlaufen.
Um den Administratoren Zeit für das Upgrade zu geben, veröffentlichen wir technische Details vorerst noch nicht, werden aber in Kürze einen zweiten Artikel dazu veröffentlichen.
Wir haben die Administratoren der größten Online-Communities bereits intern über das Update informiert, bitten euch jedoch, uns dabei zu helfen, alle euch bekannten Instanzen zu erreichen, die diese Nachricht möglicherweise noch nicht erhalten haben.
Über phpBB
phpBB ist eine alte Open-Source-Forensoftware aus dem Jahr 2000, die auch heute noch genutzt wird. Vielleicht kennst du einige der Communities, die mit phpBB betrieben werden, wie zum Beispiel https://forum.joomla.org oder https://forums.debian.net. Allein die „Site Showcase“-Seite von phpBB zählt über 6 Millionen Mitglieder, und es gibt noch viele weitere in nicht verlinkten Instanzen.
Aufgrund seiner Beliebtheit und seines Open-Source-Charakters war es damals im Internet zahlreichen gezielten Angriffen ausgesetzt, bei denen Zero-Day-Schwachstellen ausgenutzt wurden. Am bekanntesten ist der „Santy“-Wurm aus dem Jahr 2004, der eine Sicherheitslücke ausnutzte, die zu einer Remote-Code-Ausführung (RCE) führte. Es war das erste Mal, dass eine Suchmaschine wie Google genutzt wurde, um innerhalb kürzester Zeit Zehntausende von Instanzen aufzuspüren und zu kompromittieren.
Die Angriffsfläche ist riesig, da im Laufe der Jahre nach und nach zahlreiche Funktionen in den Code integriert wurden. Und reines PHP gilt nicht gerade als das sicherste Framework. Dennoch verfügen sie über ein ordnungsgemäßes Programm zur Offenlegung von Sicherheitslücken auf HackerOne, über das Forscher ihre Befunde beheben lassen können.
Heutzutage gilt es als relativ sicher. Wir haben jedoch neue Hinweise darauf, dass es nach wie vor schwerwiegende Sicherheitslücken aufweist.
Die Schwachstelle
Eine einzige nicht authentifizierte HTTP-Anfrage reicht aus, um eine gültige Sitzung als beliebiger Benutzer zu erhalten. Bei einer Standardinstallation von phpBB ist die Mitgliederliste öffentlich zugänglich, sodass die Auswahl eines Ziels ein Kinderspiel ist.
.jpg)
Was ein Angreifer mit dieser Sitzung anstellen kann, hängt vom jeweiligen Konto ab. Ein Standardbenutzer legt private Nachrichten und alle Inhalte offen, auf die er Zugriff hat. Ein Administratorkonto gewährt uneingeschränkten Lese-, Schreib- und Löschzugriff im gesamten Forum und ermöglicht in der neuesten Version die Ausführung von Remote-Code.
Die Sicherheitslücke betrifft alle Versionen bis einschließlich 3.3.16 und 4.0.0-a2.
Zeitplan
- 2. Juni 2026, 20:22 Uhr – Bericht an das VDP-Programm unter https://hackerone.com/phpbb übermittelt
- 2. Juni 2026, 20:31 Uhr – Der Bericht wurde vom phpBB-Team geprüft (ja, in nur 9 Minuten!)
- 6. Juni 2026, 16:26 Uhr – Version 3.3.17 mit einem Patch wurde veröffentlicht
