10 year old critical vulnerability in phpBB affecting tens of millions of users across thousands of forums 漏洞概述 phpBB 是一个广泛使用的开源论坛软件,拥有超过 1000 万用户。phpBB 存在一个 10 年历史的漏洞,允许攻击者通过精心构造的 URL 执行任意代码。该漏洞存在于 phpBB 的 文件中,具体在 函数中。攻击者可以通过构造包含恶意参数的 URL 来触发漏洞,从而执行任意代码。 影响范围 受影响版本:phpBB 3.0.x 到 3.2.x 用户数量:超过 1000 万用户 论坛数量:数千个论坛 修复方案 升级版本:升级到 phpBB 3.3.x 或更高版本 临时措施:如果无法立即升级,可以通过修改 文件中的 函数来修复漏洞。具体修改方法如下: 时间线 2013-01-10:漏洞首次被发现 2013-01-15:漏洞报告给 phpBB 团队 2013-01-20:phpBB 团队确认漏洞并发布修复补丁 2013-01-25:漏洞公开披露 参考链接 phpBB 官方论坛 漏洞报告链接