phpBB a distribué en urgence la version 3.3.17. Il s'agit d'une version de maintenance et de sécurité pour la branche 3.3.x. Cette version corrige une faille critique. La vulnérabilité vient d'une faiblesse dans OAuth permettant un hijacking d'un compte utilisateur.
Il faut a minima retirer l'authentification Apache et LDAP et désactiver OAuth sur ACP, le temps de mettre à jour en 3.3.17.
"Une vérification insuffisante des autorisations d'accès lors de leur configuration dans le panneau d'administration aurait pu permettre à un administrateur malveillant de contourner le niveau d'autorisation accordé. Nous remercions UdinChan de nous avoir signalé ce problème sur HackerOne." précise phpBB. Une autre faille concerne une potentiel injection SQL.
Note de version : https://www.phpbb.com/community/viewtopic.php?t=2672170
Catégorie actualité: SécuritéphpBBImage actualité AMP: