pentesting de IA de Aikido Aikido Attack Se ha detectado una vulnerabilidad crítica que permite eludir la autenticación en la última versión del software del foro phpBB, lo que puede dar lugar a la ejecución remota de código y al control total del sistema subyacente. La vulnerabilidad puede explotarse en la configuración predeterminada y no requiere conocimientos especiales. Si tienes la versión 4.0.0-a2 o 3.3.16 y anteriores, actualiza inmediatamente a principal (todavía no hay una versión 4.x segura) y 3.3.17, respectivamente, para evitar riesgos.
El 2 de junio, notificamos el hallazgo a los responsables del mantenimiento de phpBB a través de su Programa de divulgación de vulnerabilidades de HackerOne. Tras una rápida evaluación, solo hicieron falta cuatro días para que se publicara un parche operativo en la nueva versión 3.3.17, el 6 de junio. Puedes consultar más detalles sobre esta actualización en las notas oficiales de la versión.
Hay un pequeño cambio que afecta a la compatibilidad si tu instalación de phpBB tiene habilitada la autenticación OAuth, ya que el controlador de la URI de redireccionamiento se encuentra ahora en /user/oauth/authenticate/.... Aparte de este cambio, la actualización debería transcurrir sin problemas.
Para dar tiempo a los administradores a actualizar el sistema, por el momento no publicaremos los detalles técnicos, pero en breve publicaremos un segundo artículo al respecto.
Ya hemos informado en privado a los administradores de las comunidades en línea más grandes sobre la actualización, pero te pedimos que nos ayudes a ponernos en contacto con cualquier comunidad que conozcas y que quizá aún no haya recibido la noticia.
Acerca de phpBB
phpBB es un antiguo software de foros de código abierto que data del año 2000 y que todavía se utiliza hoy en día. Es posible que reconozcas algunas de las comunidades que funcionan con phpBB, como https://forum.joomla.org o https://forums.debian.net. Solo la sección «Site Showcase» de phpBB cuenta con más de 6 millones de miembros, a los que se suman muchos más en instancias no enlazadas.
Debido a su popularidad y a su naturaleza de código abierto, en su día fue objeto de numerosos ataques selectivos que aprovechaban vulnerabilidades de día cero en Internet. El más destacado fue el gusano «Santy» de 2004, que se aprovechó de una vulnerabilidad que permitía la ejecución remota de código. Fue la primera vez que se utilizó un motor de búsqueda como Google para localizar y comprometer al instante decenas de miles de instancias.
La superficie de ataque es enorme, ya que a lo largo de los años se han ido incorporando poco a poco numerosas funciones al código fuente. Además, el PHP sin modificar no se considera precisamente el marco más seguro. No obstante, cuentan con un programa de divulgación de vulnerabilidades adecuado en HackerOne, donde los investigadores pueden conseguir que se solucionen los problemas que detectan.
Hoy en día, se considera razonablemente seguro. Sin embargo, disponemos de nuevas pruebas de que sigue conteniendo vulnerabilidades de gran repercusión.
La vulnerabilidad
Basta con una sola solicitud HTTP sin autenticar para obtener una sesión válida como cualquier usuario. En una instalación predeterminada de phpBB, la lista de miembros es pública, por lo que elegir un objetivo es muy sencillo.
.jpg)
Lo que un atacante puede hacer con esa sesión depende de la cuenta. Una cuenta de usuario estándar expone los mensajes privados y todo el contenido al que tiene acceso. Una cuenta de administrador otorga acceso completo de lectura, escritura y eliminación en todo el foro y, en la última versión, abre la puerta a la ejecución remota de código.
La vulnerabilidad afecta a todas las versiones hasta la 3.3.16 y la 4.0.0-a2, ambas incluidas.
Cronología
- 2 de junio de 2026, 20:22 h - Informe enviado al programa VDP de https://hackerone.com/phpbb
- 2 de junio de 2026, 20:31 - El informe fue evaluado por el equipo de phpBB (¡así es, en solo 9 minutos!)
- 6 de junio de 2026, 16:26 - Se lanza la versión 3.3.17 con un parche
