Lançamento do phpBB 3.3.16
Enviado: 27 Abr 2026, 15:59
Saudações a todos,
Temos o prazer de anunciar o lançamento do phpBB 3.3.16 “Bertie in scrubs”. Esta é uma versão de manutenção e segurança do branch 3.3.x que corrige três falhas de segurança, introduz uma série de melhorias destinadas a aprimorar a experiência do usuário e a estabilidade geral do software e resolve alguns problemas notados em lançamentos anteriores.
Em versões anteriores, o phpBB dependia de informações do servidor web para construir a URL do link de redefinição de senha. Dependendo das configurações do phpBB e do servidor, essas informações poderiam não ser devidamente filtradas, o que poderia resultar no envio de URLs controladas por invasores como a URL no e-mail de redefinição de senha. Gostaríamos de agradecer a Seong Hun Jeong (HunSec) por relatar esse problema para nós no HackerOne.
Além disso, verificações de acesso inadequadas ao citar postagens em mensagens privadas permitiam que os usuários acessassem postagens marcadas como excluídas (soft-deleted) ou não aprovadas, mesmo que estas normalmente não fossem visíveis para os respectivos usuários. Foi notado outro problema com verificações inadequadas de chaves de formulário na funcionalidade de denúncia de postagem, que poderia potencialmente ser usado para enviar denúncias em nome de um usuário sem o seu consentimento ou intenção. Gostaríamos de agradecer à equipe do GitHub Security Lab por relatar esses dois problemas para nós.
Também foi descoberta uma verificação inadequada ao marcar as notificações como lidas. Isso poderia potencialmente ser usado para alterar o estado de leitura das notificações do fórum de outros usuários. Gostaríamos de agradecer a Liao Shuang por relatar esse problema para nós.
Foi implementado um hardening (fortificação de segurança) adicional para o download de anexos, com um melhor tratamento de imagens não rasterizadas, a fim de evitar possíveis ataques de XSS em servidores web mal configurados.
As melhorias no phpBB 3.3.16 incluem a reintrodução da autenticação para feeds RSS/Atom, bem como a adição da capacidade de reiniciar o instalador (por exemplo, em caso de problemas durante o processo de instalação).
As correções de bugs notáveis neste lançamento incluem correções adicionais para a exibição de postagens em ordem crescente, que antes poderiam resultar em uma ordem não cronológica, problemas ao reverter algumas migrações (migrations) e um erro fatal em potencial ao fazer o download de arquivos com um intervalo de bytes específico. Adicionalmente, as requisições de consulta WHOIS (WHOIS lookup) haviam parado de retornar detalhes como país ou provedor. Com os ajustes efetuados, o phpBB agora é compatível com o estado atual dos serviços ARIN/RIPE e passará a retornar esses detalhes novamente.
A lista completa de alterações está disponível no arquivo de log de alterações dentro da pasta docs contida no pacote de lançamento. Você pode encontrar os principais destaques desta versão e uma lista de todos os problemas corrigidos em nosso rastreador em https://tracker.phpbb.com/issues/?filter=16890
Os pacotes podem ser baixados de nosso página de Downloads.
A tradução para Português Brasileiro pode ser baixada na Página Oficial da Tradução
A equipe de desenvolvimento agradece a todos que contribuíram com o código para este lançamento: Matt Friedman, rxu, Kailey M. Snay, battye, Daniel James, Christian Schnegelberger, LukeWCS, Neo-CTC, IdfbAn, Patrick Webster, Robert Korulczyk, cabot
- A Equipe phpBB e Suporte phpBB
Temos o prazer de anunciar o lançamento do phpBB 3.3.16 “Bertie in scrubs”. Esta é uma versão de manutenção e segurança do branch 3.3.x que corrige três falhas de segurança, introduz uma série de melhorias destinadas a aprimorar a experiência do usuário e a estabilidade geral do software e resolve alguns problemas notados em lançamentos anteriores.
Em versões anteriores, o phpBB dependia de informações do servidor web para construir a URL do link de redefinição de senha. Dependendo das configurações do phpBB e do servidor, essas informações poderiam não ser devidamente filtradas, o que poderia resultar no envio de URLs controladas por invasores como a URL no e-mail de redefinição de senha. Gostaríamos de agradecer a Seong Hun Jeong (HunSec) por relatar esse problema para nós no HackerOne.
Além disso, verificações de acesso inadequadas ao citar postagens em mensagens privadas permitiam que os usuários acessassem postagens marcadas como excluídas (soft-deleted) ou não aprovadas, mesmo que estas normalmente não fossem visíveis para os respectivos usuários. Foi notado outro problema com verificações inadequadas de chaves de formulário na funcionalidade de denúncia de postagem, que poderia potencialmente ser usado para enviar denúncias em nome de um usuário sem o seu consentimento ou intenção. Gostaríamos de agradecer à equipe do GitHub Security Lab por relatar esses dois problemas para nós.
Também foi descoberta uma verificação inadequada ao marcar as notificações como lidas. Isso poderia potencialmente ser usado para alterar o estado de leitura das notificações do fórum de outros usuários. Gostaríamos de agradecer a Liao Shuang por relatar esse problema para nós.
Foi implementado um hardening (fortificação de segurança) adicional para o download de anexos, com um melhor tratamento de imagens não rasterizadas, a fim de evitar possíveis ataques de XSS em servidores web mal configurados.
As melhorias no phpBB 3.3.16 incluem a reintrodução da autenticação para feeds RSS/Atom, bem como a adição da capacidade de reiniciar o instalador (por exemplo, em caso de problemas durante o processo de instalação).
As correções de bugs notáveis neste lançamento incluem correções adicionais para a exibição de postagens em ordem crescente, que antes poderiam resultar em uma ordem não cronológica, problemas ao reverter algumas migrações (migrations) e um erro fatal em potencial ao fazer o download de arquivos com um intervalo de bytes específico. Adicionalmente, as requisições de consulta WHOIS (WHOIS lookup) haviam parado de retornar detalhes como país ou provedor. Com os ajustes efetuados, o phpBB agora é compatível com o estado atual dos serviços ARIN/RIPE e passará a retornar esses detalhes novamente.
A lista completa de alterações está disponível no arquivo de log de alterações dentro da pasta docs contida no pacote de lançamento. Você pode encontrar os principais destaques desta versão e uma lista de todos os problemas corrigidos em nosso rastreador em https://tracker.phpbb.com/issues/?filter=16890
Os pacotes podem ser baixados de nosso página de Downloads.
A tradução para Português Brasileiro pode ser baixada na Página Oficial da Tradução
A equipe de desenvolvimento agradece a todos que contribuíram com o código para este lançamento: Matt Friedman, rxu, Kailey M. Snay, battye, Daniel James, Christian Schnegelberger, LukeWCS, Neo-CTC, IdfbAn, Patrick Webster, Robert Korulczyk, cabot
- A Equipe phpBB e Suporte phpBB