🗓️ Contexte

Publié le 10 juin 2026 par Jorian Woltjer sur le blog d’Aikido Security, cet article révèle la découverte d’une vulnérabilité critique de contournement d’authentification dans le logiciel de forum open-source phpBB, découverte via l’outil de pentest automatisé Aikido Attack.

🔍 Nature de la vulnérabilité

  • Type : Authentication Bypass (contournement d’authentification)
  • Vecteur : Une seule requête HTTP non authentifiée suffit à obtenir une session valide en tant que n’importe quel utilisateur
  • Versions affectées : phpBB ≤ 3.3.16 et 4.0.0-a2
  • Configuration requise : Configuration par défaut, aucune connaissance particulière nécessaire
  • Exploitation de la liste des membres : publique par défaut, facilitant le ciblage

💥 Impact

  • Compte standard : accès aux messages privés et à tout le contenu accessible
  • Compte administrateur : accès complet en lecture, écriture et suppression sur l’ensemble du forum, usurpation d’identité, fuite de conversations privées
  • RCE non possible : un second contrôle de mot de passe protège l’Admin Control Panel (ACP), limitant l’impact à la prise de contrôle de compte administrateur

📅 Timeline

  • 2 juin 2026, 20h22 : Rapport soumis au programme VDP de phpBB sur HackerOne
  • 2 juin 2026, 20h31 : Triage effectué par l’équipe phpBB (9 minutes)
  • 6 juin 2026, 16h26 : Publication du patch dans la version 3.3.17

🛠️ Correctif

  • Version corrigée : phpBB 3.3.17 (branche 3.x) ; aucune version 4.x sûre disponible à ce jour
  • Changement mineur : le gestionnaire de redirection OAuth est désormais à /user/oauth/authenticate/...

📰 Type d’article

Il s’agit d’un rapport de vulnérabilité publié par le chercheur ayant découvert la faille, visant à informer les administrateurs de l’existence du problème et de la disponibilité d’un correctif, tout en retenant les détails techniques pour laisser le temps aux instances de se mettre à jour.

🧠 TTPs et IOCs détectés

TTP

  • T1078 — Valid Accounts (Defense Evasion / Persistence / Privilege Escalation / Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1530 — Data from Cloud Storage (Collection)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ aikido.dev — source reconnue (Rösti community) (20pts)
  • ✅ 6519 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.aikido.dev/blog/phpbb-authentication-bypass-rce