Per favore, aggiungi TurboLab.it alle eccezioni del tuo Ad Blocker. Siamo un progetto no-profit, e la pubblicità è indispensabile per pagare le spese.
In alternativa, puoi sostenerci con una donazione.
Rispetteremo ogni tua scelta, e potrai sempre utilizzare il sito senza limitazioni.
Due vulnerabilità critiche di tipo authentication bypass sono state scoperte in phpBB, uno dei software per forum più longevi e diffusi nel panorama open source (lo stesso impiegato anche qui su TurboLab.it). La più grave consente a un attaccante di autenticarsi come qualsiasi utente - amministratori inclusi - con una singola richiesta HTTP, senza conoscere la password e senza alcuna interazione da parte della vittima. La correzione è arrivata con la versione 3.3.17, rilasciata il 6 giugno 2026, ma il tempo che intercorre tra il rilascio di una patch e la sua effettiva applicazione sui server è, come sempre, il vero terreno di gioco per chi attacca.
La prima vulnerabilità, classificata con un punteggio CVSS v3.1 di 9,4 su 10 (critico), colpisce tutte le installazioni di phpBB fino alla versione 3.3.16 e la 4.0.0-a2, nella configurazione predefinita con metodo di autenticazione basato su database. Il difetto ricade nella categoria CWE-305: un aggiramento dell'autenticazione dovuto a una debolezza primaria nel meccanismo di verifica delle credenziali.
L'aspetto più allarmante è la semplicità dell'attacco. Niente credenziali, niente accesso precedente al sistema, niente che la vittima debba fare. L'unico requisito è conoscere il nome utente del bersaglio. E qui entra in gioco un dettaglio che peggiora ulteriormente le cose: nelle installazioni predefinite di phpBB, la lista dei membri del forum è pubblicamente accessibile. Enumerare gli utenti - amministratori compresi - è banale.
Una volta sfruttata la falla, l'attaccante ottiene pieno accesso all'account compromesso: messaggi privati, contenuti riservati, aree a visibilità limitata. Se il bersaglio è un amministratore, si aggiungono permessi di lettura, scrittura e cancellazione sull'intero forum - post, board privati, dati degli utenti. È possibile creare o eliminare account, impersonare lo staff, deturpare il sito.
L'esecuzione remota di codice (RCE) non è direttamente raggiungibile attraverso questa vulnerabilità.
La seconda vulnerabilità, con un punteggio CVSS di 8,3, colpisce le installazioni che hanno configurato l'autenticazione OAuth tramite Google, Facebook o Bitly. Il meccanismo d'attacco è più sofisticato: sfrutta una combinazione di debolezza nella protezione contro il cross-site request forgery (CSRF) e l'assenza di validazione del parametro state nel flusso OAuth.
In termini pratici, l'attaccante nasconde un collegamento malevolo all'interno di un tag immagine in un post o in un messaggio privato. Quando la vittima - che deve essere autenticata - carica la pagina, il collegamento si attiva senza alcun clic. Le credenziali OAuth dell'attaccante vengono silenziosamente associate all'account della vittima nel database di phpBB. Da quel momento in poi, l'attaccante può accedere all'account del bersaglio attraverso il proprio profilo OAuth, e questa associazione persiste finché un amministratore o la vittima stessa non la rimuove manualmente.
Per chi non può aggiornare immediatamente, la mitigazione temporanea consiste nel disabilitare OAuth, tornare all'autenticazione via database e verificare la tabella degli account OAuth nel database alla ricerca di associazioni non riconosciute.
Due team indipendenti hanno individuato le vulnerabilità quasi contemporaneamente. Aikido, attraverso il proprio strumento di pentesting basato su intelligenza artificiale denominato Aikido Attack, ha segnalato il problema a phpBB tramite il programma di divulgazione su HackerOne il 2 giugno 2026. Due giorni dopo, il 4 giugno, Dan Stefan Alexandru di Pentest-Tools.com ha effettuato una segnalazione indipendente.
Il team di phpBB ha reagito con notevole rapidità: la patch è arrivata appena quattro giorni dopo la prima segnalazione, con il rilascio della versione 3.3.17 il 6 giugno. La divulgazione pubblica è avvenuta l'8 giugno. Aikido ha dichiarato di aver trattenuto i dettagli tecnici sulle modalità di sfruttamento per dare tempo agli amministratori di aggiornare, e di aver notificato direttamente i gestori delle comunità online più grandi.
Sul fronte degli identificativi, la situazione è ancora in divenire: al momento della divulgazione l'assegnazione degli identificativi CVE ufficiali risultava ancora in corso, con il tracker interno di Pentest-Tools.com che utilizza le sigle PTT-2026-004 e PTT-2026-005.
phpBB è un software open source la cui prima versione risale al 2000. Il solo Site Showcase ufficiale conta oltre sei milioni di membri registrati, ma il numero di installazioni reali è ben più ampio, considerando le innumerevoli istanze non censite. Tra le comunità note che utilizzano phpBB figurano forum.joomla.org e forums.debian.net.
L'aggiornamento alla versione 3.3.17 è l'unica soluzione completa per la vulnerabilità primaria.
Gli amministratori che utilizzano OAuth devono prestare attenzione a una modifica nel percorso dell'handler per il redirect URI, ora posizionato su /user/oauth/authenticate/....
Chi opera sulla versione 4.x (attualmente in fase "alpha") si trova in una posizione più scomoda: al momento della divulgazione non era disponibile un rilascio stabile corretto per quel ramo di sviluppo, e la raccomandazione è di aggiornare al branch master.
La combinazione di queste due vulnerabilità - una che non richiede letteralmente nulla se non un nome utente, l'altra che si attiva al semplice caricamento di una pagina - configura uno scenario in cui ogni installazione non aggiornata è un bersaglio a portata di mano. La patch c'è, è disponibile da una settimana. Il resto è responsabilità di chi amministra.
Fonti: aikido.dev, phpbb.com
Nessuno ha ancora commentato.
![[Upd: patch disponibile] MiniPlasma è il nuovo exploit per Windows 11 che sfrutta una vulnerabilità... corretta nel 2020?!? (aggiornato: 12 giugno 2026, ore 09:52)](https://turbolab.it/immagini/reg/6/windows-11-security-flaw-zero-day-threat-2-27599.avif)
![[Upd: patch disponibile] Rilasciati due nuovi zero-day per Windows: YellowKey bypassa BitLocker, GreenPlasma scala a SYSTEM - il codice degli exploit è disponibile pubblicamente (aggiornato: 10 giugno 2026, ore 07:17)](https://turbolab.it/immagini/reg/6/windows-key-system-exploit-27549.avif)
