Siber araştırmacılar, popüler forum yazılımı phpBB'de herhangi bir kullanıcı hesabıyla oturum açmayı mümkün kılan güvenlik açıkları keşfettiler. Bununla birlikte tüm tahtayı işgal edebilirsiniz. Yöneticilerin hızlı bir şekilde uygulaması gereken bir güncelleme mevcut.
Duyurudan sonra devamını okuyun
Analizde kullanılan AI pentest aracının sağlayıcısı, sızıntının yazılımda on yıldır mevcut olduğunu yazıyor. Aikido çalışanlarının açıkladığı gibi standart konfigürasyon savunmasızdır ve binlerce forumu saldırılara karşı savunmasız bırakır. Ne olursa olsun, Dan Stefan Alexandru da aradaki farkı kapattı ve bir tane daha.
PhpBB ekibi, bu ve diğer boşlukları gideren ve forum yöneticilerinin yazılımı hızlı bir şekilde güncellemesini gerektiren 3.3.17 “Young Bertie” sürümünü yayınladı. Sürüm toplamda dört güvenlik açığını kapatıyor. Kritik bir risk, saldırganların herhangi bir aktif kullanıcı kadar geçerli bir oturum belirteci elde etmesine olanak tanıyan bir kimlik doğrulama atlamasıdır. Tek bir HTTP isteği ile, önceden kayıt gerektirmeden. Bu, üçüncü taraf kullanıcı hesaplarının kontrolünü ele almanıza olanak tanır (CVE-2026-48611, CVSS 9.8risk”eleştirmen“).İki kaşif bağımsız olarak bu güvenlik açığını keşfetti ve bildirdi.
Çoklu güvenlik açıkları – hemen güncelleyin
Bahsedilen ikinci güvenlik açığı, OAuth uygulamasındaki kontrolleri etkileyerek “Siteler Arası İstek Sahteciliği” (CSRF) güvenlik açığına neden oluyor. Kurbanlar, saldırganlar tarafından oluşturulan bir bağlantıya tıkladığında bu, hesabın ele geçirilmesine olanak tanır (CVE-2026-48612, CVSS) 8.0risk”yüksek“).
Aikido, yöneticilerin güncelleme için zamanları olması adına boşluklarla ilgili ayrıntıları henüz yayınlamak istemiyor. Ancak yamalı sürüm yayınlandı ve basit bir işlemle diff Suçlular hangi kodun değiştirildiğine dair gerekli bilgileri elde eder. Bu nedenle yakın gelecekte saldırılar beklenebilir.
(Bilmiyorum)
Bir yanıt yazın