Vulnérabilité critique d'authentification dans phpBB affectant des millions d'utilisateurs

Sat, 13 Jun 2026 00:00:00 +0000

🗓️ Contexte

Publié le 10 juin 2026 par Jorian Woltjer sur le blog d’Aikido Security, cet article révèle la découverte d’une vulnérabilité critique de contournement d’authentification dans le logiciel de forum open-source phpBB, découverte via l’outil de pentest automatisé Aikido Attack.

🔍 Nature de la vulnérabilité

Type : Authentication Bypass (contournement d’authentification)
Vecteur : Une seule requête HTTP non authentifiée suffit à obtenir une session valide en tant que n’importe quel utilisateur
Versions affectées : phpBB ≤ 3.3.16 et 4.0.0-a2
Configuration requise : Configuration par défaut, aucune connaissance particulière nécessaire
Exploitation de la liste des membres : publique par défaut, facilitant le ciblage

💥 Impact

Compte standard : accès aux messages privés et à tout le contenu accessible
Compte administrateur : accès complet en lecture, écriture et suppression sur l’ensemble du forum, usurpation d’identité, fuite de conversations privées
RCE non possible : un second contrôle de mot de passe protège l’Admin Control Panel (ACP), limitant l’impact à la prise de contrôle de compte administrateur

📅 Timeline

2 juin 2026, 20h22 : Rapport soumis au programme VDP de phpBB sur HackerOne
2 juin 2026, 20h31 : Triage effectué par l’équipe phpBB (9 minutes)
6 juin 2026, 16h26 : Publication du patch dans la version 3.3.17

🛠️ Correctif

Version corrigée : phpBB 3.3.17 (branche 3.x) ; aucune version 4.x sûre disponible à ce jour
Changement mineur : le gestionnaire de redirection OAuth est désormais à /user/oauth/authenticate/...

📰 Type d’article

Il s’agit d’un rapport de vulnérabilité publié par le chercheur ayant découvert la faille, visant à informer les administrateurs de l’existence du problème et de la disponibilité d’un correctif, tout en retenant les détails techniques pour laisser le temps aux instances de se mettre à jour.