2026年6月16日,phpBB官方通报旧版(3.3.16及更早3.x、4.0.0-a2前4.x测试版)存在高危身份认证绕过漏洞。该漏洞由安全公司Aikido发现并经HackerOne平台披露,攻击者仅需发送特定HTTP请求即可登录任意账号,包括管理员账户。因phpBB默认公开用户列表,攻击者可轻易获取用户名实施冒用,进而读取私信或篡改论坛内容。目前官方已发布3.3.17版本完成修复。值得注意的是,后台管理面板(ACP)独立鉴权,暂无远程代码执行风险。
免责声明:本文内容由开放的智能模型自动生成,仅供参考。