phpBB 3.3.17 版本 - 請更新
發表於 : 2026-06-16 , 17:38
phpBB 3.3.17 版本 - 請更新
來源: https://www.phpbb.com/community/viewtopic.php?t=2672170
phpBB 3.3.17 版本 - 請更新
後續 作者:Marc » 2026年6月6日 星期六 下午4:26
大家好,
我們很高興宣布 phpBB 3.3.17「Young Bertie」正式發布。此版本是 3.3.x 分支的維護與安全版本,修正了四項安全問題,其中一項為關鍵安全問題。請盡快更新到這個新版本。如果您無法立即更新,請閱讀支援論壇的公告:[緊急]防止驗證繞過的變通方法
phpBB 3.3.17 也進一步強化,改進了 OAuth 流程,並解決了先前版本中發現的一些問題。
在設定 ACP 權限時
未正確驗證存取權限,可能導致惡意管理員超過授權等級。我們要感謝 UdinChan 在 HackerOne 上向我們回報這個問題。
另一個潛在問題是設定檔欄位遷移,無法妥善處理使用者資料,可能導致透過設定檔欄位資料注入 SQL 的事件。這只影響那些從 phpBB 3.3.8 之前版本更新過,且尚未更新到 3.3.11 或更新版本的 phpBB 論壇。我們要感謝 Anteater(giant_anteater)在 HackerOne 向我們回報此問題。
此外,先前 OAuth 實作中兩次不當檢查可能被用來劫持使用者帳號。其中一款不需要設定或啟用 OAuth。我們要感謝合氣道安全(aikido.dev)透過 HackerOne 向我們回報,也感謝 Pentest-Tools.com 的 Dan Stefan Alexandru 和 Himanshu Anand 透過電子郵件向我們回報。
在改進 OAuth 程式碼的同時,我們選擇部分重構現有實作,以解決重定向網址的已知問題,並將 OAuth 工作流程改為使用控制器。作為這項變更的副作用,你必須調整 OAuth 提供者的重定向 URI。過去,OAuth 實作需要兩個重定向 URI。對 Google 來說,這例如:
經過重構後,這會變成例如:
如果你啟用了 URL 重寫,也可以省略該部分。不再需要第二個 URI。你必須在 OAuth 租戶(如 Google 或 Facebook)的設定中更新重定向 URI。
新增主機名稱查詢及安全下載引薦者檢查的強化功能。本版本
中一項值得注意的錯誤修正解決了 phpBB 3.3.16 近期變更中引入的擴充功能卸載問題。此外,檢查檔案系統階段的安裝問題也被解決。
完整的變更清單可在發佈套件中文件夾的變更日誌檔案中取得。你可以找到這次發行的主要亮點
這些套件可從我們的下載頁面.
開發團隊感謝所有為本版本貢獻程式碼的人士:Kailey M. Snay、Matt Friedman、Christian Schnegelberger
。如果您有任何問題或意見,我們很樂意在討論主題.
- phpBB 團隊
來源: https://www.phpbb.com/community/viewtopic.php?t=2672170
phpBB 3.3.17 版本 - 請更新
後續 作者:Marc » 2026年6月6日 星期六 下午4:26
大家好,
我們很高興宣布 phpBB 3.3.17「Young Bertie」正式發布。此版本是 3.3.x 分支的維護與安全版本,修正了四項安全問題,其中一項為關鍵安全問題。請盡快更新到這個新版本。如果您無法立即更新,請閱讀支援論壇的公告:[緊急]防止驗證繞過的變通方法
phpBB 3.3.17 也進一步強化,改進了 OAuth 流程,並解決了先前版本中發現的一些問題。
在設定 ACP 權限時
未正確驗證存取權限,可能導致惡意管理員超過授權等級。我們要感謝 UdinChan 在 HackerOne 上向我們回報這個問題。
另一個潛在問題是設定檔欄位遷移,無法妥善處理使用者資料,可能導致透過設定檔欄位資料注入 SQL 的事件。這只影響那些從 phpBB 3.3.8 之前版本更新過,且尚未更新到 3.3.11 或更新版本的 phpBB 論壇。我們要感謝 Anteater(giant_anteater)在 HackerOne 向我們回報此問題。
此外,先前 OAuth 實作中兩次不當檢查可能被用來劫持使用者帳號。其中一款不需要設定或啟用 OAuth。我們要感謝合氣道安全(aikido.dev)透過 HackerOne 向我們回報,也感謝 Pentest-Tools.com 的 Dan Stefan Alexandru 和 Himanshu Anand 透過電子郵件向我們回報。
在改進 OAuth 程式碼的同時,我們選擇部分重構現有實作,以解決重定向網址的已知問題,並將 OAuth 工作流程改為使用控制器。作為這項變更的副作用,你必須調整 OAuth 提供者的重定向 URI。過去,OAuth 實作需要兩個重定向 URI。對 Google 來說,這例如:
經過重構後,這會變成例如:
如果你啟用了 URL 重寫,也可以省略該部分。不再需要第二個 URI。你必須在 OAuth 租戶(如 Google 或 Facebook)的設定中更新重定向 URI。
新增主機名稱查詢及安全下載引薦者檢查的強化功能。本版本
中一項值得注意的錯誤修正解決了 phpBB 3.3.16 近期變更中引入的擴充功能卸載問題。此外,檢查檔案系統階段的安裝問題也被解決。
完整的變更清單可在發佈套件中文件夾的變更日誌檔案中取得。你可以找到這次發行的主要亮點
這些套件可從我們的下載頁面.
開發團隊感謝所有為本版本貢獻程式碼的人士:Kailey M. Snay、Matt Friedman、Christian Schnegelberger
。如果您有任何問題或意見,我們很樂意在討論主題.
- phpBB 團隊