Unzählige Onlineforen seit 10 Jahren angreifbar
Verfasst: Montag 15. Juni 2026, 16:11
Wer ein Onlineforum auf Basis von phpBB betreibt, sollte dringend handeln. Eine Lücke lässt Angreifer beliebige Konten kapern, auch jene der Admins.
Sicherheitsforscher von Aikido haben mithilfe künstlicher Intelligenz eine kritische Sicherheitslücke in der weitverbreiteten Forensoftware phpBB entdeckt. Wie die Forscher in einem Blogbeitrag schildern, können Angreifer die Authentifizierung umgehen und beliebige Nutzerkonten übernehmen, darunter auch Admin-Accounts. Administratoren sollten zügig auf die neueste Version von phpBB aktualisieren, um ihre Foren zu schützen.
Technische Details zu ihrem Fund halten die Forscher aus Sicherheitsgründen noch zurück, damit Admins zunächst genug Zeit haben, um den verfügbaren Patch einzuspielen. Den Angaben zufolge klafft die Lücke aber schon seit etwa zehn Jahren in phpBB. Sie soll sich ohne spezielle Kenntnisse durch einen einfachen HTTP-Request ausnutzen lassen.
In der Forensoftware phpBB klafft eine gefährliche Sicherheitslücke. (Bild: Github / Foto)
In der Forensoftware phpBB klafft eine gefährliche Sicherheitslücke. Bild: Github / Foto
Sicherheitsforscher von Aikido haben mithilfe künstlicher Intelligenz eine kritische Sicherheitslücke in der weitverbreiteten Forensoftware phpBB entdeckt. Wie die Forscher in einem Blogbeitrag schildern, können Angreifer die Authentifizierung umgehen und beliebige Nutzerkonten übernehmen, darunter auch Admin-Accounts. Administratoren sollten zügig auf die neueste Version von phpBB aktualisieren, um ihre Foren zu schützen.
Technische Details zu ihrem Fund halten die Forscher aus Sicherheitsgründen noch zurück, damit Admins zunächst genug Zeit haben, um den verfügbaren Patch einzuspielen. Den Angaben zufolge klafft die Lücke aber schon seit etwa zehn Jahren in phpBB. Sie soll sich ohne spezielle Kenntnisse durch einen einfachen HTTP-Request ausnutzen lassen.
Neues aus der Golem Karrierewelt
Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien
Workshops und Weiterbildungen Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien
TechRiders Summit – Europas Plattform für digitale Souveränität, IT Strategy & Execution
Karriere Ratgeber TechRiders Summit – Europas Plattform für digitale Souveränität, IT Strategy & Execution
OT-Security Manager (TÜV) nach IEC 62443
Seminar OT-Security Manager (TÜV) nach IEC 62443
Linux-Befehlszeile für Anfänger:innen - Der Einstieg in die Welt der Linux-Befehlszeile (E-Learning)
E-Learning Linux-Befehlszeile für Anfänger:innen - Der Einstieg in die Welt der Linux-Befehlszeile (E-Learning)
Da phpBB-Foren standardmäßig über öffentliche Mitgliederlisten verfügen, soll ein Angreifer leicht einen Zielnutzer auswählen und diesen übernehmen können. Anschließend kann der Angreifer wohl auf alle Inhalte des jeweiligen Nutzers zugreifen, darunter auch private Nachrichten. Bei Admin-Konten kommen weitreichende administrative Zugriffsmöglichkeiten hinzu, die sich über das ganze Forum erstrecken.
Innerhalb von vier Tagen gepatcht
Als anfällig gelten phpBB-Versionen bis einschließlich 3.3.16 und 4.0.0-a2. Die Forensoftware soll jeweils in der Standardkonfiguration anfällig sein. Die Aikido-Forscher betonen allerdings, dass anhand der Sicherheitslücke keine direkte Schadcodeausführung auf dem zugrundeliegenden Server möglich ist. Eine zusätzliche Passwortabfrage soll vor solchen Attacken schützen.
Die Forscher haben ihre Entdeckung nach eigenen Angaben am 2. Juni über Hackerone an die phpBB-Entwickler gemeldet. Seit dem 6. Juni steht mit Version 3.3.17 ein Patch bereit, der die Lücke schließt. Für die 4er-Version gibt es wohl noch keinen Patch, allerdings hat diese ohnehin noch den Alpha-Status und dürfte daher nicht sehr verbreitet sein.
Die Forensoftware phpBB ist quelloffen und erfreute sich in den 2000er Jahren großer Beliebtheit. Doch auch heute laufen noch zahlreiche Internetforen auf dieser Software, darunter das Joomla Forum und die Debian User Forums. Damit dürften Daten von Millionen von Forennutzern auf der ganzen Welt gefährdet sein.
Sicherheitsforscher von Aikido haben mithilfe künstlicher Intelligenz eine kritische Sicherheitslücke in der weitverbreiteten Forensoftware phpBB entdeckt. Wie die Forscher in einem Blogbeitrag schildern, können Angreifer die Authentifizierung umgehen und beliebige Nutzerkonten übernehmen, darunter auch Admin-Accounts. Administratoren sollten zügig auf die neueste Version von phpBB aktualisieren, um ihre Foren zu schützen.
Technische Details zu ihrem Fund halten die Forscher aus Sicherheitsgründen noch zurück, damit Admins zunächst genug Zeit haben, um den verfügbaren Patch einzuspielen. Den Angaben zufolge klafft die Lücke aber schon seit etwa zehn Jahren in phpBB. Sie soll sich ohne spezielle Kenntnisse durch einen einfachen HTTP-Request ausnutzen lassen.
In der Forensoftware phpBB klafft eine gefährliche Sicherheitslücke. (Bild: Github / Foto)
In der Forensoftware phpBB klafft eine gefährliche Sicherheitslücke. Bild: Github / Foto
Sicherheitsforscher von Aikido haben mithilfe künstlicher Intelligenz eine kritische Sicherheitslücke in der weitverbreiteten Forensoftware phpBB entdeckt. Wie die Forscher in einem Blogbeitrag schildern, können Angreifer die Authentifizierung umgehen und beliebige Nutzerkonten übernehmen, darunter auch Admin-Accounts. Administratoren sollten zügig auf die neueste Version von phpBB aktualisieren, um ihre Foren zu schützen.
Technische Details zu ihrem Fund halten die Forscher aus Sicherheitsgründen noch zurück, damit Admins zunächst genug Zeit haben, um den verfügbaren Patch einzuspielen. Den Angaben zufolge klafft die Lücke aber schon seit etwa zehn Jahren in phpBB. Sie soll sich ohne spezielle Kenntnisse durch einen einfachen HTTP-Request ausnutzen lassen.
Neues aus der Golem Karrierewelt
Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien
Workshops und Weiterbildungen Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien
TechRiders Summit – Europas Plattform für digitale Souveränität, IT Strategy & Execution
Karriere Ratgeber TechRiders Summit – Europas Plattform für digitale Souveränität, IT Strategy & Execution
OT-Security Manager (TÜV) nach IEC 62443
Seminar OT-Security Manager (TÜV) nach IEC 62443
Linux-Befehlszeile für Anfänger:innen - Der Einstieg in die Welt der Linux-Befehlszeile (E-Learning)
E-Learning Linux-Befehlszeile für Anfänger:innen - Der Einstieg in die Welt der Linux-Befehlszeile (E-Learning)
Da phpBB-Foren standardmäßig über öffentliche Mitgliederlisten verfügen, soll ein Angreifer leicht einen Zielnutzer auswählen und diesen übernehmen können. Anschließend kann der Angreifer wohl auf alle Inhalte des jeweiligen Nutzers zugreifen, darunter auch private Nachrichten. Bei Admin-Konten kommen weitreichende administrative Zugriffsmöglichkeiten hinzu, die sich über das ganze Forum erstrecken.
Innerhalb von vier Tagen gepatcht
Als anfällig gelten phpBB-Versionen bis einschließlich 3.3.16 und 4.0.0-a2. Die Forensoftware soll jeweils in der Standardkonfiguration anfällig sein. Die Aikido-Forscher betonen allerdings, dass anhand der Sicherheitslücke keine direkte Schadcodeausführung auf dem zugrundeliegenden Server möglich ist. Eine zusätzliche Passwortabfrage soll vor solchen Attacken schützen.
Die Forscher haben ihre Entdeckung nach eigenen Angaben am 2. Juni über Hackerone an die phpBB-Entwickler gemeldet. Seit dem 6. Juni steht mit Version 3.3.17 ein Patch bereit, der die Lücke schließt. Für die 4er-Version gibt es wohl noch keinen Patch, allerdings hat diese ohnehin noch den Alpha-Status und dürfte daher nicht sehr verbreitet sein.
Die Forensoftware phpBB ist quelloffen und erfreute sich in den 2000er Jahren großer Beliebtheit. Doch auch heute laufen noch zahlreiche Internetforen auf dieser Software, darunter das Joomla Forum und die Debian User Forums. Damit dürften Daten von Millionen von Forennutzern auf der ganzen Welt gefährdet sein.