phpBB 포럼 소프트웨어에서 10년간 존재해온 인증 우회 취약점이 발견되어, 공격자가 관리자 등 임의의 사용자로 로그인할 수 있는 것으로 드러났다. 이 취약점은 별도의 식별자 없이 단일 HTTP 요청만으로도 쉽게 악용될 수 있으며, phpBB 4.0.0-a2 또는 3.3.16 이하 버전에 영향을 미친다. 보안 기업 Aikido는 6월 2일 해당 버그를 발견해 개발사에 신고했고, phpBB는 즉시 대응하여 6월 6일 3.3.17 버전에서 문제를 해결했다.
이 취약점은 10년 전 코드베이스에 도입되어 3.x 및 4.x 릴리즈 브랜치 전체에 영향을 주고 있다. 4.x 릴리즈의 경우 아직 공식적인 패치가 제공되지 않았으며, 기본 설정에서도 별도의 지식이나 추가 설정 없이 취약점이 악용될 수 있다. 관리자 권한을 탈취할 경우, 공격자는 포럼의 모든 비공개 메시지 열람, 콘텐츠 및 계정 생성·수정·삭제, 관리자 사칭, 사이트 훼손 등이 가능하다. 다만, Admin Control Panel에는 별도의 비밀번호 검증이 있어 원격 코드 실행(RCE)은 불가능하다.
Aikido는 포럼 관리자들이 보안 업데이트를 적용할 시간을 주기 위해 기술적 세부사항 공개를 미루고 있으며, 대형 포럼 관리자들에게 직접 연락해 경고했다. 업데이트 적용 시 OAuth 인증을 사용하는 포럼은 리디렉션 핸들러 위치 변경으로 인해 문제가 발생할 수 있으나, 대부분 간단히 수정 가능하다. Aikido는 추후 상세 보고서를 공개할 예정이나, 구체적인 일정은 밝히지 않았다.
요약
- phpBB에서 10년간 방치된 인증 우회 취약점이 발견되어 관리자 등 임의 계정으로 로그인 가능하다.
- 취약점은 3.3.16 및 4.0.0-a2 이하 버전에 영향을 미치며, 3.3.17에서 패치되었다.
- 4.x 릴리즈는 아직 공식 패치가 없으며, 기본 설정에서도 쉽게 악용될 수 있다.
- 관리자 권한 탈취 시 포럼 내 모든 정보 접근 및 조작이 가능하나, RCE는 불가능하다.
- Aikido는 기술 세부사항 공개를 미루고, 대형 포럼 관리자에게 직접 경고했다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.