Plattform
php
Komponente
xenforo-2-xss
Behoben in
2.3.10
2.2.19
CVE-2026-35057 describes a stored Cross-Site Scripting (XSS) vulnerability discovered in XenForo. This flaw allows an attacker to inject malicious scripts through crafted mentions within legacy profile post content. The vulnerability affects versions 2.3.0 through 2.3.10 and has been resolved in version 2.3.10. Users are advised to upgrade immediately to mitigate the risk.
Die CVE-2026-35057-Schwachstelle in XenForo, die Versionen vor 2.3.10 und 2.2.19 betrifft, führt zu einer gespeicherten Cross-Site Scripting (XSS)-Schwachstelle. Dieser Fehler wird durch bösartige Erwähnungen in strukturiertem Text ausgenutzt, die hauptsächlich ältere Profilbeiträge betreffen. Ein Angreifer kann bösartigen Code injizieren, der im System gespeichert und ausgeführt wird, wenn andere Benutzer den betroffenen Inhalt ansehen. Dies kann zum Diebstahl von Cookies, zur Weiterleitung auf bösartige Websites oder zur Manipulation des Seiteninhalts führen und die Sicherheit und Integrität des Forums gefährden. Die Schwere des Einfalls hängt von den Berechtigungen des betroffenen Benutzers und der Sensibilität der auf dem Forum freigegebenen Informationen ab.
Die Schwachstelle wird ausgelöst, wenn ein bösartiger Benutzer eine speziell gestaltete Erwähnung in ein Feld für strukturierten Text einfügt. Dieses Feld, das häufig in älteren Profilbeiträgen verwendet wird, validiert die Eingabe nicht ordnungsgemäß und ermöglicht so die Injektion von JavaScript-Code. Wenn andere Benutzer den Beitrag mit dieser Erwähnung ansehen, wird der JavaScript-Code in ihrem Browser ausgeführt, wodurch der Angreifer bösartige Aktionen ausführen kann. Der Erfolg der Ausnutzung hängt von der Fähigkeit des Angreifers ab, eine Erwähnung zu erstellen, die bestehende Sicherheitsmaßnahmen umgeht, und vom Vertrauen der Benutzer in den Inhalt des Forums.
Organizations and individuals running XenForo forums, particularly those using older versions (2.3.0 - 2.3.10) or those with legacy profile post content. Shared hosting environments where multiple forums share the same server instance are also at increased risk, as a compromise of one forum could potentially impact others.
• php / web:
curl -I https://example.com/forum/mention.php?id=123 | grep -i 'X-XSS-Protection'• php / web: Check XenForo version by examining the XF.version variable in the HTML source code.
• php / web: Review XenForo forum logs for suspicious activity related to profile post creation and modification, specifically looking for unusual characters or patterns in mention content.
• php / web: Use a WAF to monitor for XSS attempts targeting profile post mentions.
disclosure
Exploit-Status
EPSS
0.03% (8% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung zur Minderung von CVE-2026-35057 besteht darin, XenForo auf Version 2.3.10 oder höher oder auf Version 2.2.19 oder höher zu aktualisieren. Dieses Update enthält Patches, die die XSS-Schwachstelle beheben. Es wird empfohlen, das Update so schnell wie möglich durchzuführen, um potenzielle Angriffe zu verhindern. Darüber hinaus werden regelmäßige Sicherheitsüberprüfungen des Forums empfohlen, um potenzielle Schwachstellen zu identifizieren und zu beheben. Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice XenForo a la versión 2.3.10 o 2.2.19, o posterior, para corregir la vulnerabilidad XSS. Esto evitará que los atacantes inyecten scripts maliciosos a través de menciones en el texto estructurado.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitslücke, die es Angreifern ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Bezieht sich auf Profilbeiträge, die mit älteren Versionen von XenForo erstellt wurden und möglicherweise nicht über die gleichen Sicherheitsvorkehrungen wie die neuesten Versionen verfügen.
Wenn Sie eine Version von XenForo vor 2.3.10 oder 2.2.19 verwenden, sind Sie wahrscheinlich betroffen. Überprüfen Sie Ihre XenForo-Version und aktualisieren Sie sie so schnell wie möglich.
Ändern Sie sofort alle Administratorpasswörter, überprüfen Sie die Serverprotokolle auf verdächtige Aktivitäten und erwägen Sie, eine vollständige Sicherheitsüberprüfung durchzuführen.
Wenn Sie nicht sofort aktualisieren können, sollten Sie vorübergehend Erwähnungen in älteren Profilbeiträgen deaktivieren, obwohl dies die Funktionalität des Forums beeinträchtigen kann.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.