Une faille de sécurité vieille de dix ans a été découverte dans le logiciel de forum phpBB. Elle permet à un attaquant de se connecter avec les droits de n’importe quel utilisateur, y compris ceux d’un administrateur.
Cette vulnérabilité, qui ne possède pas encore d’identifiant public, est très simple à exploiter. Une seule requête HTTP suffit. Elle affecte les versions de phpBB 4.0.0-a2 ou 3.3.16 et toutes les versions antérieures.
Les chercheurs de la société de sécurité applicative Aikido ont trouvé ce bug le 2 juin et l’ont signalé via le programme de divulgation de vulnérabilités HackerOne du développeur.
L’équipe de phpBB a répondu au signalement immédiatement et a corrigé le problème le 6 juin avec la version 3.3.17 du logiciel.
Selon Aikido, cette erreur a été introduite dans le code source de phpBB il y a dix ans. Elle a un impact sur toutes les versions des branches 3.x et 4.x, jusqu’aux versions 3.3.16 et 4.0.0-a2. Pour la branche 4.x, aucune correction n’est encore disponible.
phpBB est une plateforme de forums web gratuite et open source qui est basée sur PHP. Elle a connu son apogée dans les années 2000 et au début des années 2010. Aujourd’hui, elle fait encore tourner des milliers de forums dans le monde.
Aikido indique que l’exploitation de cette faille ne nécessite aucune configuration particulière, car elle peut être déclenchée avec les paramètres par défaut du logiciel.
Le rapport d’Aikido précise : « La vulnérabilité est exploitable dans la configuration par défaut et ne demande pas de connaissances spéciales. »
Les administrateurs de forum sont invités à agir sans délai : « Si vous utilisez la version 4.0.0-a2 ou 3.3.16 et les versions inférieures, mettez à jour immédiatement vers la version maîtresse pour la branche 4.x et vers la version 3.3.17 pour l’autre, afin d’éviter une compromission. »
Un accès administrateur pourrait permettre à des attaquants de consulter tous les messages privés stockés sur le forum, de créer, modifier ou supprimer du contenu et des comptes utilisateurs, d’usurper l’identité des modérateurs ou encore de défigurer les sites.
Choisir des cibles est également facile, car la liste des membres sur les forums phpBB est publique par défaut.
Aikido note qu’une exécution de code à distance n’est pas possible à cause d’une vérification de mot de passe distincte qui protège le Panneau de Contrôle Administrateur.
Les chercheurs ont retenu tous les détails techniques pour l’instant. Ce délai doit donner aux administrateurs de forum le temps d’appliquer les mises à jour de sécurité. Ils ont même contacté directement les administrateurs de grands forums basés sur phpBB pour les alerter.
Il faut savoir que la mise à jour peut provoquer des dysfonctionnements sur les forums qui utilisent l’authentification OAuth, car le gestionnaire de redirection OAuth a été déplacé vers un nouvel emplacement. Cette correction devrait être simple dans la plupart des cas.
Aikido a promis de publier l’analyse complète de la faille dans un futur rapport, mais n’a pas fourni de calendrier précis.