AI зламав phpBB: тепер кожен може зайти під адміном через один простий запит

Спеціалісти з кібербезпеки з компанії Aikido Security нацькували свій модний інструмент Aikido Attack на старий движок форумів і знайшли там діру під кодом CVE-2026-48611.

Ця проблема зачепила майже всі версії phpBB, починаючи з прадавньої 3.1.0-a1 і закінчуючи 3.3.16. Фактично, під загрозою опинилися всі ресурси, які полінувалися оновитися з початку літа.

Сам злам виглядає сміховинно просто. Зловмиснику достатньо відправити один HTTP-запит, вказавши логін жертви та увімкнувши режим авторизації через Apache. Сервер без зайвих питань видає робочу сесійну куку для будь-якого імені, навіть для головного засновника сайту.

Отримавши цю куку, хакер миттєво стає повноправним власником чужого акаунту. Під виглядом звичайного юзера можна читати приватні повідомлення, а під адмінським профілем — банити людей, видаляти теми та зливати IP-адреси відвідувачів.

Оскільки для входу в панель керування форум вимагає пароль повторно, зловмисники вигадали геніальний обхідний шлях. Вони реєструють звичайного користувача із відомим їм паролем, крадуть сесію головного адміна, додають свій новий акаунт до групи суперадмінів, а потім просто авторизуються під ним напряму.

Розробники закрили цю дірку у версії 3.3.17, випущеній ще в червні, спочатку тихенько попередивши власників найбільших майданчиків.

Чергове підтвердження того, що сучасний інтернет тримається на соплях і коді, написаному ще до появи перших айфонів. Залишається лише поспівчувати сисадмінам, які тепер змушені проводити вихідні за оновленням софту з епохи динозаврів.

Джерело: Aikido Security