2026-06-16 12:01:49
亚汇网获悉,该漏洞由安全公司Aikido发现,并通过HackerOne平台向官方披露。Aikido表示,这一漏洞已经存在超过10年,黑客仅需发送特定的HTTP请求即可触发漏洞并登录任意账号。由于phpBB默认会公开论坛用户列表,攻击者能够轻松获取用户名,从而冒充管理员或普通用户,读取用户私信等敏感信息;若成功获取管理员权限,还可进一步获得论坛内容的完整读取、修改和删除权限。不过,由于phpBB的后台管理面板(AdminControlPanel,ACP)采用独立密码保护机制,因此该漏洞暂时无法直接导致远程代码执行(RCE)风险。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
