文章总结： phpBB开源论坛软件被曝存在身份认证绕过漏洞，影响3.3.16及之前所有3.x版本和4.0.0-a2之前的4.x测试版，攻击者可通过特定HTTP请求直接登录任意用户账号（包括管理员）。该漏洞由Aikido安全公司发现并披露，存在时间超过10年，可能导致敏感信息泄露和内容篡改，但无法直接实现远程代码执行。官方已发布3.3.17版本安全更新修复漏洞，建议用户立即升级。 综合评分： 78 文章分类： 漏洞预警,WEB安全,应用安全,安全运营,解决方案

【安全圈】开源论坛软件 phpBB 曝身份认证绕过漏洞，官方发布 3.3.17 版本更新修复

安全圈

2026年6月16日 16:31 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

据 phpBB 通报，旧版 phpBB（包括 3.3.16 及之前所有 3.x 版本，以及 4.0.0-a2 之前的全部 4.x 测试版本）均含有一项身份认证绕过漏洞，黑客可利用漏洞直接登录任意用户账号（甚至包括论坛管理员账号），目前官方已发布 3.3.17 版本安全更新，修复了相应漏洞。

该漏洞由安全公司 Aikido 发现，并通过 HackerOne 平台向官方披露。Aikido 表示，这一漏洞已经存在超过 10 年，黑客仅需发送特定的 HTTP 请求即可触发漏洞并登录任意账号。由于 phpBB 默认会公开论坛用户列表，攻击者能够轻松获取用户名，从而冒充管理员或普通用户，读取用户私信等敏感信息；若成功获取管理员权限，还可进一步获得论坛内容的完整读取、修改和删除权限。

不过，由于 phpBB 的后台管理面板（Admin Control Panel，ACP）采用独立密码保护机制，因此该漏洞暂时无法直接导致远程代码执行（RCE）风险。

END

阅读推荐

【安全圈】飞书崩了！！！

【安全圈】现实版黑客训练场！FBI 重金搭建肉鸡小镇：200 台服务器随便黑

【安全圈】美国政府命令 Anthropic 暂停向外国公民提供 Fable 5 和 Mythos 5 访问权限

【安全圈】Meta AI 客服系统被黑，2 万+ Instagram 账户沦陷

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】开源论坛软件 phpBB 曝身份认证绕过漏洞，官方发布 3.3.17 版本更新修复》