Вышел phpBB 3.3.17 [обсуждаем]

[rxu]

Обсуждаем новость о выходе phpBB 3.3.17.

Предыдущее обсуждение: Вышел phpBB 3.3.16 [обсуждаем]


ВНИМАНИЕ: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

[Michel]

Обновился. Пока полёт нормальный.

[angst66]

Обновился, в соглашении о конфиденциальности внизу хвост от плагина mediaembed, нет переревода на ру.

Код: Выделить всё

Embedded Content from Other Websites
“ваш сайт” may include posts or content that contain embedded material from external websites, including but not limited to YouTube, Facebook, Twitter, and similar platforms. Embedded content from these external sites behaves in the same way as if you had visited the originating website directly.

These external websites may collect data about you, use cookies, embed additional third-party tracking, and monitor your interaction with the embedded content, including tracking your interaction if you have an account and are logged in to that website.

Please note that such activity is beyond the control of “ваш сайт” and is governed by the privacy policies and terms of service of the respective external websites. We encourage you to review the privacy and cookie policies of any third-party services you interact with through embedded content.

[Michel]

Обновился, в соглашении о конфиденциальности внизу хвост от плагина mediaembed, нет переревода на ру.

Это отсутствие перевода расширения, а не движка. Я об этом писал здесь

[angst66]

Да, перепутал с расширением VigLink, которое в комплекте идет.

[Bydlocoder]

Кто еще не обновился - крайне рекомендую поспешить.
В этой версии пофиксили уязвимость, которая позволяет зайти на форум без авторизации под любым пользователем, вплоть до админа.
Статья на хабре https://habr.com/ru/news/1046724/
Сегодня примерно в 10 утра МСК по этой схеме был взломан мой форум с ip 87.117.53.217.
Что успели сделать:
1. Разбанить забаненых
2. Забанить кучу IP (прям блоками)
3. Начать удалять в автоматическом режиме кучу тем

Откатил базу на ночной бекап и срочно обновился до 17

[Romnik]

Кто еще не обновился - крайне рекомендую поспешить.

Теперь и я обновился.

[Джим]

Ко мне тоже на 2 форума забрались. Добавили себя в админы, поудаляли новичков из группы новичков

[Romnik]

Версия phpBB 3.3.17 «Young Bertie» была выпущена 6 июня 2026 года и устранила четыре уязвимости. Это обновление носит характер планового обновления безопасности и функциональной доработки.

Уязвимости, которые были исправлены

1. Некорректная проверка прав доступа в административной панели (ACP). В определённых сценариях администратор форума мог получить более широкие полномочия, чем ему было делегировано.
2. Уязвимость при миграции полей профиля. При обновлении форума с версии старше 3.3.8 до промежуточных версий (3.3.8–3.3.10) механизм обработки полей профиля мог некорректно обрабатывать входные данные, что потенциально приводило к SQL-инъекции. Проблема затрагивала только форумы, обновлённые с версий ниже 3.3.8 и ещё не достигшие версии 3.3.11.
3. Уязвимости в реализации OAuth. Две независимые ошибки в проверках могли быть использованы для захвата учётных записей пользователей, прошедших аутентификацию через внешнего провайдера. Одна из них не требовала настройки или включения OAuth.
4. Уязвимость, связанная с обходом аутентификации (CVE-2026-48611). По данным компании Aikido Security, эта проблема позволяла через отправку одного HTTP-запроса подключиться к сеансу любого пользователя форума. Эксплуатация сводилась к отправке запроса с указанием логина жертвы. С правами обычного пользователя атакующий мог читать личные сообщения и отправлять посты от имени жертвы, а с учётной записью администратора — редактировать и удалять чужие посты, банить, разбанивать и удалять учётные записи, видеть IP-адреса пользователей. При этом злоумышленник не мог зайти в панель администрирования, так как для этого требовалось ввести пароль, которого он не знал.

Дополнительные улучшения в версии 3.3.17

- Усилены проверки для безопасных загрузок и разрешения имён хостов.
- Исправлена проблема с удалением расширений, возникшая в версии 3.3.16.
- Почищена ошибка на этапе установки при проверке файловой системы с использованием PHP 8.4.
- Проведён частичный рефакторинг кода для улучшения обработки URL-адресов перенаправления, логика OAuth перенесена на контроллеры.

Важно!
Разработчики настоятельно рекомендуют всем пользователям как можно скорее обновиться до этой версии. Откладывание обновления может привести к захвату учётных записей пользователей, несанкционированному повышению привилегий администраторов и возможной утечке данных из базы.

[rxu]

ВНИМАНИЕ: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

[southklad]

Обновил три форума, пока полет нормальный