Ce mail provient de l'extérieur, restons vigilants ===================================================================== CERT-Renater Note d'Information No. 2026/VULN616 _____________________________________________________________________ DATE : 11/06/2026 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S): Systems running phpBB versions prior to 3.3.17. ===================================================================== https://documentation.solarwinds.com/en/success_center/servu/content/release_notes/servu_15-5-4-hotfix-1_release_notes.htm _____________________________________________________________________ Sortie de phpBB 3.3.17 Message par Steph » 07 juin 2026 à 18:45 Bonjour à toutes et à tous, phpBB.com vient d'annoncer la sortie de phpBB 3.3.17 « Young Bertie ». Cette version est une version de maintenance et de sécurité de la branche 3.3.x qui corrige quatre problèmes de sécurité. Nous vous recommandons de mettre à jour vers cette nouvelle version dès que possible. phpBB 3.3.17 ajoute également un renforcement supplémentaire de la sécurité, apporte des améliorations au processus OAuth et résout certains problèmes constatés dans les versions précédentes. Une vérification incorrecte des permissions d'accès lors de la définition des permissions dans le PCA aurait pu permettre à un administrateur malveillant de dépasser le niveau de permission qui lui était accordé. phpBB tient à remercier UdinChan de lui avoir signalé ce problème sur HackerOne. Un autre problème potentiel concernait une migration de champ de profil qui ne gérait pas correctement les données utilisateur et qui aurait pu entraîner une éventuelle injection SQL via les données du champ de profil. Cela n'affectait que les forums phpBB qui avaient été mis à jour depuis des versions antérieures à phpBB 3.3.8 et qui n'avaient pas encore été mis à jour vers la version 3.3.11 ou une version plus récente. phpBB tient à remercier Anteater (giant_anteater) de lui avoir signalé ce problème sur HackerOne. En outre, deux vérifications incorrectes distinctes dans la précédente implémentation d'OAuth auraient pu être utilisées pour détourner des comptes utilisateurs. L'une d'elles ne nécessitait pas qu'OAuth soit configuré ou activé. phpBB tient à remercier Aikido Security (aikido.dev) de lui avoir fait part de ce problème via HackerOne, ainsi que Dan Stefan Alexandru de Pentest-Tools.com et Himanshu Anand de le lui avoir signalé par e-mail. Tout en améliorant le code OAuth, nous avons choisi de refactoriser partiellement l'implémentation actuelle afin de résoudre certains problèmes connus supplémentaires liés aux URL de redirection, et nous avons à la place adapté le flux de travail OAuth pour qu'il utilise des contrôleurs. Conséquence de cette modification, vous devrez ajuster l'URI de redirection de votre fournisseur OAuth. Auparavant, l'implémentation d'OAuth nécessitait deux URI de redirection. Pour Google, il s'agissait par exemple de : https://{URL_de_votre_forum}/ucp.php?mode=login&login=external&oauth_service=google https://{URL_de_votre_forum}/ucp.php?i=ucp_auth_link&mode=auth_link&link=1&oauth_service=google Avec les modifications apportées par la refactorisation, cela deviendra par exemple : https://{URL_de_votre_forum}/app.php/user/oauth/authenticate/google Si vous avez activé la réécriture des URL, vous pouvez également omettre la partie app.php/. Une seconde URI n'est plus nécessaire. Vous devrez mettre à jour l'URI de redirection dans vos configurations chez les fournisseurs OAuth tels que Google ou Facebook. Un renforcement supplémentaire a été introduit pour la résolution des noms d'hôtes et pour la vérification du référent des téléchargements sécurisés. Une correction de bogue notable dans cette version résout un problème potentiel lié à la désinstallation des extensions, qui avait été introduit avec les récentes modifications de phpBB 3.3.16. De plus, un problème d'installation survenant lors de l'étape de vérification du système de fichiers a été résolu. La liste complète des modifications est disponible dans le fichier « changelog » présent dans le répertoire « docs » contenu dans l'archive de la version publiée. Vous pouvez trouver les principaux changements de cette version en accédant à ce message (lien externe et en anglais) et consulter la liste de tous les problèmes résolus en visitant la page de l'outil de suivi https://tracker.phpbb.com/issues/?filter=16990 (en anglais). Les packs peuvent être téléchargés depuis la page de téléchargements de phpBB.com. Nos packs en langue française sont disponibles sur notre page Téléchargements ! L'équipe de développement remercie tous ceux qui ont contribué au code de cette version : Kailey M. Snay, Matt Friedman, Christian Schnegelberger. Si vous avez des questions ou des commentaires, nous serons ravis d'y répondre dans le sujet de discussion. L'équipe phpBB-fr.com ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23/25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email:cert@support.renater.fr + =========================================================