phpBBフォーラム、10年間潜伏していた認証バイパスの脆弱性を修正

phpBBフォーラムソフトウェアで10年前から存在していた認証バイパスの脆弱性が発見されました。この脆弱性を悪用すると、攻撃者は管理者を含む任意のユーザーとしてログインできてしまいます。

この欠陥には識別子が割り当てられておらず、単一のHTTPリクエストだけで簡単に悪用できます。影響を受けるバージョンはphpBB 4.0.0-a2および3.3.16以下です。

アプリケーションセキュリティ企業Aikidoの研究者が6月2日にこのバグを発見し、開発者のHackerOne脆弱性開示プログラムを通じて報告しました。

phpBBはこの報告に即座に対応し、6月6日にリリースしたバージョン3.3.17で問題を修正しました。

Aikidoによると、この欠陥はphpBBのコードベースに10年前に持ち込まれており、3.xおよび4.xリリースブランチのすべてのバージョン（3.3.16および4.0.0-a2まで）に影響します。4.x系については、まだ修正版は提供されていません。

phpBBはPHPベースの無料オープンソースWebフォーラムプラットフォームで、2000年代から2010年代前半にかけて最盛期を迎えました。現在も世界中で数千ものフォーラムを支えています。

Aikidoは、このバグはデフォルト設定で発動するため、悪用に特別な設定は不要だと述べています。

「この脆弱性はデフォルト設定で悪用可能であり、特別な知識も必要ありません」とAikidoのレポートには記されています。

「バージョン4.0.0-a2または3.3.16以下をお使いの場合は、侵害を避けるために、それぞれmasterブランチ（4.x系の安全なリリースはまだ未提供）および3.3.17へ直ちにアップグレードしてください。」

管理者アクセスを取得した攻撃者は、フォーラムに保存されているすべてのプライベートメッセージの閲覧、コンテンツやユーザーアカウントの作成・変更・削除、スタッフへのなりすまし、サイトの改ざんなどを行える可能性があります。

phpBBフォーラムのメンバーリストはデフォルトで公開されているため、攻撃対象の特定も容易です。

Aikidoは、管理者コントロールパネルを保護する別途のパスワードチェックが存在するため、リモートコード実行（RCE）は不可能と指摘しています。

研究者らはフォーラム管理者がセキュリティアップデートを適用するための十分な時間を確保するため、現時点では技術的な詳細を公開しておらず、規模の大きなphpBBベースのフォーラムの管理者には直接連絡して警告を発しています。

なお、このアップデートによってOAuth認証を使用しているフォーラムが正常に動作しなくなる可能性があります。OAuthリダイレクトハンドラーが新しい場所に移動したためですが、ほとんどの場合、簡単な修正で対応できます。

Aikidoは今後のレポートでこの脆弱性の詳細をすべて公開すると約束していますが、具体的なスケジュールは示していません。