phpBB 3.3.17 版本 - 請更新

[yehrussell]

phpBB 3.3.17 版本 - 請更新
來源： https://www.phpbb.com/community/viewtopic.php?t=2672170

phpBB 3.3.17 版本 - 請更新
後續 作者：Marc » 2026年6月6日 星期六 下午4：26

大家好，

我們很高興宣布 phpBB 3.3.17「Young Bertie」正式發布。此版本是 3.3.x 分支的維護與安全版本，修正了四項安全問題，其中一項為關鍵安全問題。請盡快更新到這個新版本。如果您無法立即更新，請閱讀支援論壇的公告：[緊急]防止驗證繞過的變通方法
phpBB 3.3.17 也進一步強化，改進了 OAuth 流程，並解決了先前版本中發現的一些問題。
在設定 ACP 權限時
未正確驗證存取權限，可能導致惡意管理員超過授權等級。我們要感謝 UdinChan 在 HackerOne 上向我們回報這個問題。

另一個潛在問題是設定檔欄位遷移，無法妥善處理使用者資料，可能導致透過設定檔欄位資料注入 SQL 的事件。這只影響那些從 phpBB 3.3.8 之前版本更新過，且尚未更新到 3.3.11 或更新版本的 phpBB 論壇。我們要感謝 Anteater（giant_anteater）在 HackerOne 向我們回報此問題。

此外，先前 OAuth 實作中兩次不當檢查可能被用來劫持使用者帳號。其中一款不需要設定或啟用 OAuth。我們要感謝合氣道安全（aikido.dev）透過 HackerOne 向我們回報，也感謝 Pentest-Tools.com 的 Dan Stefan Alexandru 和 Himanshu Anand 透過電子郵件向我們回報。

在改進 OAuth 程式碼的同時，我們選擇部分重構現有實作，以解決重定向網址的已知問題，並將 OAuth 工作流程改為使用控制器。作為這項變更的副作用，你必須調整 OAuth 提供者的重定向 URI。過去，OAuth 實作需要兩個重定向 URI。對 Google 來說，這例如：



經過重構後，這會變成例如：

如果你啟用了 URL 重寫，也可以省略該部分。不再需要第二個 URI。你必須在 OAuth 租戶（如 Google 或 Facebook）的設定中更新重定向 URI。

新增主機名稱查詢及安全下載引薦者檢查的強化功能。本版本
中一項值得注意的錯誤修正解決了 phpBB 3.3.16 近期變更中引入的擴充功能卸載問題。此外，檢查檔案系統階段的安裝問題也被解決。

完整的變更清單可在發佈套件中文件夾的變更日誌檔案中取得。你可以找到這次發行的主要亮點

這些套件可從我們的下載頁面.

開發團隊感謝所有為本版本貢獻程式碼的人士：Kailey M. Snay、Matt Friedman、Christian Schnegelberger

。如果您有任何問題或意見，我們很樂意在討論主題.

- phpBB 團隊