Hola a todos:
Tal y como se mencionó en el anuncio del lanzamiento de phpBB 3.3.17, se ha detectado un problema de seguridad en las versiones 3.3.16 y anteriores de phpBB que podría haberse utilizado para secuestrar cuentas de usuario. Dada la gravedad de este problema, instamos a los administradores a que actualicen a la versión 3.3.17 lo antes posible o desactiven el acceso a sus foros hasta que puedan hacerlo.
Si aún no puedes actualizar a la versión 3.3.17 y no utilizas la autenticación Apache o LDAP en tu foro, puedes eliminar los dos archivos siguientes como solución temporal ({root} se utiliza como indicador del directorio raíz del foro):
{root}/phpbb/auth/provider/apache.php
{root}/phpbb/auth/provider/ldap.php
Además, te recomendamos que desactives OAuth en el ACP hasta que tengas tiempo suficiente para actualizar.
Nota: Esta solución provisional provocará un error al visitar la página del proveedor de autenticación en el ACP. Puedes volver a añadir los archivos cuando actualices a la versión 3.3.17 y el error debería resolverse.
-El equipo de phpBB
Anuncio oficial por: Marc
Hemos recibido informes que indican que se están añadiendo cuentas de usuario a grupos con permisos elevados. Recomendamos encarecidamente a los administradores que, además de actualizar inmediatamente a phpBB 3.3.17 o aplicar la corrección anterior, revisen la pertenencia a grupos de usuarios y los permisos de cualquier cuenta desconocida o no autorizada. Esto impedirá que los atacantes mantengan el acceso a través de cuentas a las que se les han concedido privilegios elevados.
Anuncio oficial por: Derky