Hace unos días os anunciamos el lanzamiento de la versión 3.0.7 del sistema de foros phpBB y el equipo de desarrollo acaba de anunciar una nueva versión 3.0.7-PL1 que solventa un problema de seguridad no corregido en esa versión.
Además de comentar que el fallo surgió una semana después del lanzamiento de la versión 3.0.7 y que no cumplieron alguna promesa del pasado, se insta a actualizar con urgencia a los que instalaron esa versión dado que hay un bug crítico en el manejo de feeds que bajo determinadas circunstancias podría comprometer seriamente la seguridad del CMS.
Además, para quienes no quieran instalar esta nueva versión, ponen a nuestra disposición el código a insertar para solventar la vulnerabilidad;
El problema se soluciona cambiando sólo una línea en feed.php, (línea 525)
- Buscar:
$forum_ids = array_keys($auth->acl_getf('f_read'));
Reemplazar por:
$forum_ids = array_keys($auth->acl_getf('f_read', true));
Más info | Descarga de phpBB versión 3.0.7-PL1