В свободном движке для создания форумов phpBB выявлена уязвимость, позволяющая через отправку одного HTTP-запроса подключиться к сеансу любого пользователя форума. Уязвимость проявляется в конфигурации phpBB по умолчанию. Проблема устранена в версии phpBB 3.3.17.
При атаке на обычных пользователей можно получить доступ к приватной переписке и возможности отправлять сообщения от имени пользователя. При атаке на модераторов и администраторов можно удалять чужие сообщения, просматривать IP-адреса и email, читать приватную переписку, но нельзя зайти в интерфейс администратора и получить доступ к хосту.
Детали об уязвимости не приводятся, но при помощи AI на основе исправления уже воссоздан метод эксплуатации, основанный на обращении к обработчику «login_link» с выставлением метода аутентификации «auth_provider=apache» и подстановкой логина через Basic Auth, после чего PHP выставит переменную окружения «PHP_AUTH_USER=логин», а phpBB извлечёт из неё логин пользователя без проверки пароля. Например, для получения идентификатора сессии пользователя admin и сохранения его в файл cookies.txt можно выполнить код:
curl -i -s \
-c cookies.txt \
-b cookies.txt \
-u ‘admin:anything’ \
-d ‘login=Login&login_username=admin&login_password=anything’ \
‘https://target.example/forum/ucp.php?mode=login_link&auth_provider=apache&login_link_any=1’
來源: opennet.ru
