Plateforme
php
Composant
xenforo
Corrigé dans
2.3.7
La vulnérabilité CVE-2025-71280 est une divulgation d'informations affectant XenForo. Sur les systèmes partagés, la mise en cache des pages de compte peut révéler des informations utilisateur sensibles à d'autres utilisateurs locaux. Les versions affectées sont XenForo 2.3.0 à 2.3.7. Cette vulnérabilité est corrigée dans la version 2.3.7.
La vulnérabilité CVE-2025-71280 dans XenForo, affectant les versions antérieures à la 2.3.7, présente un risque de divulgation d'informations dans les environnements partagés. Plus précisément, le mécanisme de mise en cache des pages de compte locales peut exposer des informations sensibles d'un utilisateur à d'autres utilisateurs partageant le même navigateur ou ordinateur. Cela est particulièrement préoccupant dans les laboratoires informatiques partagés, les bibliothèques publiques ou toute situation où plusieurs personnes utilisent le même appareil pour accéder à XenForo. Les informations compromises pourraient inclure des détails personnels, des préférences de configuration ou toute autre donnée visible sur la page de compte de l'utilisateur. La gravité de ce problème réside dans la facilité avec laquelle un attaquant local peut obtenir ces informations sans avoir besoin d'identifiants ou de privilèges élevés.
Cette vulnérabilité est facilement exploitable dans les environnements où plusieurs utilisateurs partagent le même ordinateur ou navigateur. Un attaquant local n'a pas besoin d'avoir accès aux identifiants d'un autre utilisateur pour profiter de la vulnérabilité. Simplement, après qu'un utilisateur se soit connecté à son compte XenForo, un autre utilisateur utilisant le même navigateur ou ordinateur peut accéder à la page de compte mise en cache et afficher les informations sensibles. La probabilité d'exploitation est élevée dans les environnements partagés, en particulier si les utilisateurs ne sont pas conscients des risques de sécurité associés à l'utilisation partagée des appareils. La complexité de l'exploitation est faible, car elle ne nécessite pas de compétences techniques avancées ni d'outils spécialisés.
Shared hosting environments are particularly at risk, as multiple users often share the same server resources. Organizations with public computer labs or environments where users routinely share machines are also vulnerable. Users with older XenForo installations (2.3.0 - 2.3.7) who have not yet applied security updates are directly exposed.
• php / server:
find /var/www/xenforo/ -name 'account_page.php' -print0 | xargs -0 grep -i 'cache_account_data'• php / server:
ps aux | grep -i 'xenforo' | grep -i 'account_page'• generic web: Check XenForo version header in HTTP response. A version below 2.3.7 indicates potential vulnerability.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La solution principale pour atténuer CVE-2025-71280 est de mettre à jour XenForo vers la version 2.3.7 ou supérieure. Cette mise à jour corrige le problème de mise en cache qui permet la divulgation d'informations. De plus, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires pour protéger les informations des utilisateurs dans les environnements partagés. Cela peut inclure l'utilisation de modes de navigation privée ou incognito pour chaque utilisateur, la configuration de politiques de sécurité du navigateur pour effacer les cookies et l'historique de navigation lors de la déconnexion et l'éducation des utilisateurs sur les risques de sécurité associés au partage d'appareils. Pour les environnements plus sensibles, envisagez de mettre en œuvre des solutions de virtualisation ou d'isolation des machines pour garantir que chaque utilisateur dispose de son propre environnement dédié.
Actualice XenForo a la versión 2.3.7 o posterior. Esta versión corrige la vulnerabilidad de caché de páginas de cuentas locales que podría exponer información sensible en sistemas compartidos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le cache est une façon de stocker temporairement des données afin qu'elles se chargent plus rapidement à l'avenir. Dans ce cas, XenForo mettait en cache des pages de compte, ce qui permettait à d'autres utilisateurs de voir ces informations s'ils partageaient le même navigateur.
Mettez à jour XenForo vers la version 2.3.7 ou supérieure dès que possible. C'est l'étape la plus importante pour protéger votre forum.
Oui, le mode incognito/privé aide car il n'enregistre pas les cookies ni l'historique de navigation. Cependant, ce n'est pas une solution complète, car d'autres facteurs peuvent influencer la mise en cache.
Sensibilisez vos utilisateurs aux risques liés au partage d'appareils et encouragez l'utilisation de mots de passe forts et uniques.
Toute information visible sur la page de compte de l'utilisateur, comme son nom, son adresse e-mail, sa signature et tous les paramètres personnalisés.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.