Plateforme
php
Composant
xenforo
Corrigé dans
2.3.5
La vulnérabilité CVE-2025-71278 affecte XenForo et permet aux applications clientes OAuth2 de demander des scopes non autorisés. Cela peut permettre aux applications d'accéder à des ressources au-delà de leur niveau d'autorisation prévu. Les versions affectées sont XenForo 2.3.0 à 2.3.5. La version 2.3.5 corrige cette vulnérabilité.
La vulnérabilité CVE-2025-71278 dans XenForo affecte les applications clientes OAuth2, leur permettant de demander des étendues (scopes) non autorisées. Cela signifie qu'une application, conçue pour accéder à un ensemble limité de données, pourrait potentiellement demander et obtenir un accès à des informations ou des fonctionnalités plus larges qu'elle ne devrait. Le risque est important pour tout client XenForo utilisant des clients OAuth2 sur les versions antérieures à 2.3.5. L'exploitation réussie pourrait entraîner la divulgation d'informations confidentielles, la manipulation de données ou même un accès non autorisé aux fonctions d'administration, en fonction des étendues demandées et de la configuration du système. La sévérité du CVSS 8.8 indique un risque élevé, nécessitant une attention immédiate.
La vulnérabilité se manifeste dans la façon dont XenForo gère les demandes d'autorisation des applications OAuth2. Un attaquant pourrait créer ou compromettre une application OAuth2 et manipuler sa demande d'autorisation pour inclure des étendues non autorisées. Si XenForo ne valide pas correctement ces étendues, l'application pourrait obtenir un accès à des ressources auxquelles elle ne devrait pas avoir accès. L'exploitation nécessite un accès à une application OAuth2 et la capacité de modifier sa demande d'autorisation. La probabilité d'exploitation dépend de la prévalence de l'utilisation d'OAuth2 dans l'installation de XenForo et de la sensibilisation des développeurs d'applications à cette vulnérabilité.
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La solution pour CVE-2025-71278 est de mettre à niveau XenForo vers la version 2.3.5 ou supérieure. Cette mise à jour corrige la vulnérabilité en validant correctement les demandes d'étendues des applications clientes OAuth2. Il est fortement recommandé d'effectuer la mise à niveau dès que possible, surtout si votre forum utilise OAuth2 pour l'authentification ou l'autorisation des applications tierces. Avant de mettre à niveau, il est crucial de créer une sauvegarde complète de la base de données et des fichiers de votre forum. Consultez la documentation officielle de XenForo pour obtenir des instructions détaillées sur le processus de mise à niveau. De plus, examinez la configuration de vos applications OAuth2 pour vous assurer qu'elles ne demandent que les étendues strictement nécessaires.
Actualice XenForo a la versión 2.3.5 o posterior. Esta actualización corrige la vulnerabilidad que permite a las aplicaciones cliente OAuth2 solicitar scopes no autorizados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OAuth2 est un protocole d'autorisation qui permet aux applications tierces d'accéder à des ressources protégées au nom d'un utilisateur, sans que l'utilisateur n'ait à partager ses identifiants directement avec l'application.
Si une application OAuth2 compromise exploite cette vulnérabilité, elle pourrait accéder aux données des utilisateurs au-delà de ce qu'elle devrait, ce qui pourrait compromettre leur confidentialité et leur sécurité.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de restreindre les étendues que les applications OAuth2 peuvent demander et de surveiller de près l'activité OAuth2 sur votre forum.
Consultez la documentation officielle de XenForo sur leur site web pour obtenir des instructions détaillées sur la façon de mettre à niveau vers la version 2.3.5 ou supérieure.
Actuellement, il n'existe pas d'outil spécifique pour détecter cette vulnérabilité. Le seul moyen sûr de vérifier est de confirmer que vous utilisez la version 2.3.5 ou supérieure de XenForo.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.