Plateforme
php
Composant
xenforo
Corrigé dans
2.3.9
La CVE-2026-35054 est une vulnérabilité de type Cross-Site Scripting (XSS) stockée présente dans XenForo. Elle permet à un attaquant d'injecter des scripts malveillants via le BB code, qui sont ensuite stockés et exécutés lorsque d'autres utilisateurs consultent le contenu. Cette vulnérabilité affecte les versions 2.3.0 à 2.3.9 et a été corrigée dans la version 2.3.9.
La vulnérabilité CVE-2026-35054 dans XenForo, affectant les versions antérieures à 2.3.9, représente un risque de Cross-Site Scripting (XSS) stocké. Un attaquant peut injecter du code malveillant via l'utilisation de BB code dans les forums ou les publications. Ce code est ensuite stocké dans la base de données et exécuté lorsque d'autres utilisateurs visualisent le contenu affecté. L'impact potentiel comprend le vol de cookies, le détournement vers des sites web malveillants ou la modification du contenu de la page, compromettant la sécurité et l'intégrité du forum. La gravité de la vulnérabilité est notée à 6.4 selon le CVSS. Une exploitation réussie pourrait permettre à un attaquant de prendre le contrôle des comptes d'utilisateurs, d'effectuer des actions au nom des utilisateurs ou même de compromettre l'administration du forum si elle est exploitée dans des zones accessibles aux administrateurs.
La vulnérabilité est exploitée par la manipulation du BB code. Un attaquant peut créer une publication ou un message contenant du code JavaScript malveillant déguisé dans des balises BB code. Lorsque d'autres utilisateurs visualisent cette publication, le code JavaScript s'exécute dans leurs navigateurs. L'efficacité de l'exploitation dépend de la configuration du forum et des mesures de sécurité mises en œuvre. L'absence d'une validation ou d'une désinfection appropriée du BB code permet aux attaquants d'injecter du code malveillant. La persistance du code malveillant dans la base de données signifie que la vulnérabilité peut affecter un grand nombre d'utilisateurs si elle n'est pas corrigée rapidement.
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La solution principale pour atténuer le CVE-2026-35054 est de mettre à jour XenForo vers la version 2.3.9 ou supérieure. Cette mise à jour inclut les correctifs nécessaires pour empêcher l'injection et l'exécution de code malveillant via le BB code. En attendant, il est conseillé aux administrateurs de forum de surveiller de près le contenu publié, en particulier celui des utilisateurs nouveaux ou non fiables. La mise en œuvre de politiques de modération strictes et l'utilisation d'outils de filtrage de contenu peuvent aider à détecter et à supprimer le contenu potentiellement malveillant avant qu'il ne soit consulté par d'autres utilisateurs. Les utilisateurs sont également invités à éviter de cliquer sur des liens suspects ou de télécharger des fichiers provenant de sources inconnues dans le forum.
Actualice XenForo a la versión 2.3.9 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización se puede realizar a través del panel de administración de XenForo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le BB code est un système de balisage simple utilisé dans les forums pour formater le texte, insérer des images et créer des liens.
Si vous utilisez une version de XenForo antérieure à 2.3.9, votre forum est vulnérable.
Mettez immédiatement à jour vers la dernière version de XenForo et effectuez un audit de sécurité.
Mettez en œuvre des politiques de modération strictes et envisagez d'utiliser des extensions de sécurité pour filtrer le contenu.
Oui, la mise à jour vers la version 2.3.9 ou supérieure inclut les correctifs nécessaires pour empêcher l'exploitation de cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.