1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


phpBB logo

Se geres ou participas em fóruns baseados no popular sistema phpBB, é fundamental que atualizes a infraestrutura imediatamente. Uma grave vulnerabilidade descoberta pela empresa de segurança Aikido revelou que uma falha presente há uma década permite que qualquer pessoa inicie sessão na conta de outros utilizadores, incluindo administradores, através de um simples pedido HTTP e sem necessitar de conhecimentos complexos.

Um problema oculto no código base

Esta vulnerabilidade surpreendente foi introduzida no código original do phpBB há cerca de dez anos, afetando todas as versões dos ramos 3.x e 4.x até às variantes 3.3.16 e 4.0.0-a2, respetivamente. A exploração pode ser feita diretamente nas configurações padrão da plataforma.

Ao tirar partido desta situação, um atacante ganha acesso imediato a praticamente todos os privilégios da vítima. No caso de uma conta de administração, isso traduz-se na capacidade de ler dados confidenciais como mensagens privadas, criar ou apagar tópicos, eliminar perfis de membros e até desfigurar completamente o aspeto do site. A lista de membros, sendo pública por defeito na maioria destes fóruns, facilita ainda mais a escolha dos alvos a abater.

O que fazer para proteger o fórum

Apesar da enorme gravidade da situação, os investigadores notam que não existe risco de execução remota de código. Esta salvaguarda acontece porque o acesso ao painel de controlo de administração exige uma introdução de palavra-passe completamente separada da verificação afetada.

Após o alerta recebido a 2 de junho, os programadores do phpBB agiram de forma rápida e lançaram a versão 3.3.17 a 6 de junho para estancar definitivamente o problema. Todos os administradores que se encontrem na versão 3.3.16 ou inferior devem aplicar esta atualização sem qualquer demora. Para quem utiliza a ramificação de testes 4.x, ainda não foi disponibilizada uma correção segura. Fica apenas o aviso adicional de que a instalação desta nova versão 3.3.17 pode causar pequenos constrangimentos nas ligações que dependam de autenticação OAuth, uma vez que o processo de reencaminhamento mudou de local, mas será uma correção simples de executar na esmagadora maioria dos casos.

Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech