pentest de IA Aikido Aikido Attack foi detetada uma vulnerabilidade crítica de contorno da autenticação na versão mais recente do software do fórum phpBB, o que pode levar à execução remota de código, ou seja, ao controlo total do sistema subjacente. A vulnerabilidade pode ser explorada na configuração padrão e não requer conhecimentos específicos. Se estiver a utilizar a versão 4.0.0-a2 ou 3.3.16 e versões anteriores, atualize imediatamente para master (ainda não existe uma versão segura da 4.x) e 3.3.17, respetivamente, para evitar riscos de segurança.
No dia 2 de junho, comunicámos a descoberta aos responsáveis pela manutenção do phpBB através do seu Programa de Divulgação de Vulnerabilidades HackerOne. Após uma rápida avaliação, bastaram apenas 4 dias para que fosse lançada uma correção funcional na nova versão 3.3.17, no dia 6 de junho. Pode ler mais detalhes sobre esta atualização nas notas oficiais de lançamento.
Existe uma pequena alteração que implica incompatibilidade se a sua instância do phpBB tiver a autenticação OAuth ativada, uma vez que o manipulador de URI de redirecionamento se encontra agora em /user/oauth/authenticate/.... Para além desta alteração, a atualização deverá decorrer sem problemas.
Para dar tempo aos administradores para efetuarem a atualização, decidimos adiar, por enquanto, a publicação dos detalhes técnicos, mas iremos publicar um segundo artigo em breve.
Já informámos em privado os administradores das maiores comunidades online sobre esta atualização, mas pedimos-lhe que nos ajude a contactar quaisquer comunidades que conheça e que possam ainda não ter recebido a notícia.
Sobre o phpBB
O phpBB é um antigo software de fórum de código aberto, lançado no ano 2000, que continua a ser utilizado até hoje. Talvez reconheça algumas das comunidades que funcionam com o phpBB, como https://forum.joomla.org ou https://forums.debian.net. Só a sec ção «Site Showcase» do phpBB conta com mais de 6 milhões de membros, além de muitos outros em instâncias não listadas.
Devido à sua popularidade e natureza de código aberto, foi alvo de muitos ataques direcionados que exploravam vulnerabilidades «0-day» na Internet naquela época. O mais notável foi o worm «Santy», em 2004, que explorou uma vulnerabilidade que resultou em execução remota de código (RCE). Foi a primeira vez que um motor de busca como o Google foi utilizado para localizar e comprometer instantaneamente dezenas de milhares de instâncias.
A superfície de ataque é vasta, com muitas funcionalidades que foram sendo incorporadas gradualmente ao código ao longo dos anos. E o PHP puro não é propriamente considerado a estrutura mais segura. No entanto, dispõem de um Programa de Divulgação de Vulnerabilidades adequado na HackerOne, onde os investigadores podem solicitar a correção das suas descobertas.
Atualmente, considera-se que é razoavelmente seguro. No entanto, temos novas provas de que ainda contém vulnerabilidades de grande impacto.
A vulnerabilidade
Basta uma única solicitação HTTP não autenticada para obter uma sessão válida como qualquer utilizador. Numa instalação padrão do phpBB, a lista de membros é pública, pelo que escolher um alvo é muito fácil.
.jpg)
O que um atacante pode fazer com essa sessão depende da conta. Uma conta de utilizador normal expõe mensagens privadas e todo o conteúdo a que tem acesso. Uma conta de administrador concede acesso total de leitura, escrita e eliminação em todo o fórum e, na versão mais recente, abre a porta à execução remota de código.
A vulnerabilidade afeta todas as versões até à 3.3.16 e à 4.0.0-a2, inclusive.
Cronograma
- 2 de junho de 2026, 20:22 - Relatório enviado para o programa VDP dhttps://hackerone.com/phpbb
- 2 de junho de 2026, 20:31 - A denúncia foi analisada pela equipa do phpBB (é isso mesmo, em 9 minutos!)
- 6 de junho de 2026, 16:26 - Lançamento da versão 3.3.17 com uma correção
