Forum phpBB memperbaiki bug bypass auth yang mengintai selama satu dekade

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan keamanan siber. Kerentanan bypass otentikasi berusia 10 tahun yang ditemukan di perangkat lunak forum phpBB memungkinkan penyerang untuk masuk sebagai pengguna mana pun, termasuk administrator.

Cacat ini tidak memiliki pengidentifikasi dan mudah dieksploitasi dengan satu permintaan HTTP. Ini berdampak pada phpBB versi 4. 0. 0-a2 atau 3. 3. 16 dan di bawahnya.

Para peneliti di perusahaan keamanan aplikasi Aikido menemukan bug tersebut pada tanggal 2 Juni dan melaporkannya melalui Program Pengungkapan Kerentanan HackerOne milik pengembang.

Akses administrator dapat memungkinkan penyerang melihat semua pesan pribadi yang disimpan di forum, membuat, mengubah, atau menghapus konten dan akun pengguna, menyamar sebagai staf, atau merusak situs.

Para peneliti menyembunyikan semua rincian teknis untuk saat ini agar administrator forum memiliki cukup waktu untuk menerapkan pembaruan keamanan dan bahkan menghubungi administrator forum besar berbasis phpBB untuk memperingatkan mereka secara langsung.

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari bleepingcomputer. com