phpBB.de

Hallo liebe Community,

habe heute im Administrations-Protokoll folgenden Eintrag gefunden, der mich doch etwas erschreckt hat:

Anonymous (IP) Sa 4. Jul 2015, 11:35 Neue Mitglieder zur Benutzergruppe hinzugefügt Administratoren
» (Username)

Ich benutzte phpBB Version 3.1.5.

Wie kann das sein? Gibt es irgendwo detailliertere Logs wo ich das nachschauen kann? Kann es sich um eine Sicherheitslücke handeln?

Würde mich sehr über Hilfe und Antworten freuen.

Danke im Voraus.

Grüße

UltraPower

Hast du überprüft, was der User genau für Rechte erhalten hat? Ist das vielleicht ein User, dem du selber Adminrechte gegeben hast? Oder ein anderer Admin, der gelöscht wurde?

Ansonsten: Was hast du für Modifikationen gemacht oder Extensions installiert? Ist das Forum mit anderen Dingen kombiniert?

Habe das ganze reproduzieren können und festgestellt, dass es an Tapatalk liegt.
Immer wenn sich jemand über Tapatalk direkt registriert, wird dieser sofort in die Admin-Gruppe hinzugefügt.
Zu Testzwecken habe ich das Plugin auf die neuste Version aktualisiert und es funktioniert immer noch.
Habe drei verschiedene Leute gebeten dies zu testen, alle waren danach Administratoren.
Zur Sicherheit habe ich ein Datenbank Backup eingespielt und das Plugin deaktiviert.
Ist das ganze eine Lücke in Tapatalk oder phpBB?
Kann vielleicht noch jemand das Ganze reproduzieren? Würde mich sehr interessieren, da ich meinen Usern doch gerne Tapatalk bieten würde.

Standard phpBB fügt neue Nutzer nicht der Admin-Gruppe hinzu Mir sind auch keine Berichte zu so einem Phänomen bekannt bisher. Wenn das ein phpBB Fehler wäre, dann wäre das sicher öfter hier zu finden - oder es gäbe bereits die nächste 3.1.x Version.

Ich lehne mich mal aus dem Fenster und schiebe das zu 100% auf die Erweiterung.

Ich würde empfehlen die Extension zu deinstallieren. Tapatalk kann auch so schon mal problematisch sein.

Hallo zusammen,

die Erkenntnis hatte ich auch und habe fast einen Infarkt bekommen. Im Extensionbereich gibt es allerdings hierzu eine Einstellung. Diese ist auf "Administratoren" gesetzt im Falle man erlaubt eine Registrierung via TapaTalk.

Siehe:
[ externes Bild ]

Ich werde aber Tapatalk mal den Vorschlag machen im Falle dieser Einstellung dem Administrator eine gehörige Warnmeldung um die Ohren zu hauen. Mir selbst ist nicht aufgefallen, dass ich bewusst diese Einstellung gesetzt habe. Vermutlich liegt aber A ganz oben und wurde somit als Standard gesetzt. Traurig, aber ich informiere die mal. (Siehe https://support.tapatalk.com/threads/se ... ted.31362/)

Gruß
Anardil

Hab in meiner "Panik" das Plugin gleich deinstalliert und nicht länger nachgeschaut, aber gut zu wissen, dass es diese Option gibt.