フォーラムソフトウェア「phpBB」に重大な脆弱性が発見されました。この脆弱性を悪用すると、攻撃者は認証なしの1回のリクエストだけで、管理者を含む任意のアカウントをパスワード不要で乗っ取ることができます。
PTT-2026-004として追跡されているこの脆弱性は、CVSSスコア9.4と評価されており、公式のCVE IDはまだ発行されていません。認証バイパスの脆弱性はPentest-Tools.comのDan Stefan Alexandruによって発見され、6月4日にphpBBへ報告されました。
デフォルトのデータベース認証モードにおいて、バージョン3.3.16以前のすべてのphpBBが影響を受けます。つまり、標準インストール直後の状態でも脆弱性にさらされています。4.0.0アルファ版も同様に脆弱です。
攻撃の実行に必要なのは、ターゲットのユーザー名だけです。デフォルト設定のフォーラムではメンバーリストが公開されているため、攻撃者は一覧から名前を選ぶだけで攻撃対象を特定できます。
アカウント乗っ取りの脆弱性についてさらに詳しく:AppsmithのCritical脆弱性がアカウント乗っ取りを可能に
リクエストが成功すると、攻撃者は選んだアカウントとして有効なセッションを取得します。それによって何が可能になるかは、被害者の権限次第です。
-
ターゲットユーザーが閲覧できるプライベートメッセージおよびすべてのコンテンツへのアクセス
-
対象ユーザーが管理者の場合、フォーラム全体への完全な読み取り・書き込み・削除アクセス
-
管理者コントロールパネルへのアクセスは不可(依然として管理者パスワードが必要)
この最後の防壁により、侵入者がどこまで権限を昇格できるかは制限されますが、フォーラムレベルの乗っ取りによってすでに露出しているプライベートコンテンツやメンバーデータを守ることはできません。
OAuthログインに影響する2つ目の脆弱性
2つ目の脆弱性PTT-2026-005は、デフォルトではなくGoogle、Facebook、Bitly経由のOAuthログインを有効にしているボードに影響します。CVSSスコア8.3と評価されており、クロスサイトリクエストフォージェリ(CSRF)の弱点とOAuthステート検証の欠如を組み合わせた攻撃が可能です。
ログイン中の被害者に細工されたURLを読み込ませると、攻撃者は自身のOAuth認証情報を被害者のアカウントに気づかれることなく紐づけることができ、クリック不要で完全なアカウント乗っ取りが可能になります。リンクは投稿やプライベートメッセージの画像タグに隠すことができ、ページが読み込まれた瞬間に発動します。
この悪意ある紐づけは、管理者または被害者本人が気づいて削除するまで、phpBBのデータベースに残り続けます。
phpBBは6月6日にリリースされたバージョン3.3.17で両方の問題を修正しており、開発者はPTT-2026-004の唯一の完全な対策としてアップグレードを管理者に強く促しています。
直ちにパッチを適用できず、OAuthを有効にしているボードは、OAuthを無効化してデータベース認証に戻すことで2つ目の脆弱性を塞ぐことができます。さらに、OAuthアカウントテーブルに見覚えのないエントリがないか監査することも推奨されます。
翻訳元: https://www.infosecurity-magazine.com/news/phpbb-authentication-bypass/
