Plattform
php
Komponente
xenforo
Behoben in
2.3.9
CVE-2026-35054 describes a stored cross-site scripting (XSS) vulnerability affecting XenForo. This flaw allows an attacker to inject malicious scripts through BB code, which are then stored and executed when other users view the content, potentially leading to account compromise or data theft. The vulnerability affects XenForo versions 2.3.0 through 2.3.9. A fix is available in version 2.3.9.
Die CVE-2026-35054-Schwachstelle in XenForo, die Versionen vor 2.3.9 betrifft, stellt ein Risiko von gespeichertem Cross-Site Scripting (XSS) dar. Ein Angreifer kann bösartigen Code über die Verwendung von BB-Code in Foren oder Beiträgen einschleusen. Dieser Code wird dann in der Datenbank gespeichert und ausgeführt, wenn andere Benutzer den betroffenen Inhalt ansehen. Der potenzielle Schaden umfasst den Diebstahl von Cookies, die Weiterleitung auf bösartige Websites oder die Veränderung des Seiteninhalts, wodurch die Sicherheit und Integrität des Forums gefährdet wird. Die Schwere der Schwachstelle wird gemäß CVSS mit 6.4 bewertet. Eine erfolgreiche Ausnutzung könnte es einem Angreifer ermöglichen, die Kontrolle über Benutzerkonten zu übernehmen, Aktionen im Namen von Benutzern durchzuführen oder sogar die Verwaltung des Forums zu kompromittieren, wenn dies in Bereichen ausgenutzt wird, auf die Administratoren Zugriff haben.
Die Schwachstelle wird durch die Manipulation von BB-Code ausgenutzt. Ein Angreifer kann einen Beitrag oder eine Nachricht erstellen, die bösartigen JavaScript-Code enthält, der in BB-Code-Tags getarnt ist. Wenn andere Benutzer diesen Beitrag ansehen, wird der JavaScript-Code in ihren Browsern ausgeführt. Die Effektivität der Ausnutzung hängt von der Konfiguration des Forums und den implementierten Sicherheitsmaßnahmen ab. Ein Mangel an ordnungsgemäßer Validierung oder Bereinigung von BB-Code ermöglicht es Angreifern, bösartigen Code einzuschleusen. Die Persistenz des bösartigen Codes in der Datenbank bedeutet, dass die Schwachstelle eine große Anzahl von Benutzern betreffen kann, wenn sie nicht umgehend behoben wird.
Exploit-Status
EPSS
0.03% (8% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Lösung zur Minderung von CVE-2026-35054 ist die Aktualisierung von XenForo auf Version 2.3.9 oder höher. Dieses Update enthält die notwendigen Korrekturen, um die Einspeisung und Ausführung von bösartigem Code über BB-Code zu verhindern. In der Zwischenzeit wird den Forum-Administratoren empfohlen, veröffentlichte Inhalte genau zu überwachen, insbesondere von neuen oder nicht vertrauenswürdigen Benutzern. Die Implementierung strenger Moderationsrichtlinien und die Verwendung von Inhaltsfilterwerkzeugen können dazu beitragen, potenziell schädliche Inhalte zu erkennen und zu entfernen, bevor sie von anderen Benutzern eingesehen werden. Benutzer werden ebenfalls aufgefordert, verdächtigen Links zu vermeiden oder Dateien aus unbekannten Quellen innerhalb des Forums nicht herunterzuladen.
Actualice XenForo a la versión 2.3.9 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización se puede realizar a través del panel de administración de XenForo.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
BB-Code ist ein einfaches Markup-System, das in Foren verwendet wird, um Text zu formatieren, Bilder einzufügen und Links zu erstellen.
Wenn Sie eine Version von XenForo vor 2.3.9 verwenden, ist Ihr Forum anfällig.
Aktualisieren Sie sofort auf die neueste Version von XenForo und führen Sie eine Sicherheitsprüfung durch.
Implementieren Sie strenge Moderationsrichtlinien und ziehen Sie die Verwendung von Sicherheitserweiterungen in Betracht, um Inhalte zu filtern.
Ja, das Update auf Version 2.3.9 oder höher enthält die notwendigen Korrekturen, um die Ausnutzung dieser Schwachstelle zu verhindern.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.