Plateforme
php
Composant
xenforo-2-xss
Corrigé dans
2.3.10
2.2.19
La CVE-2026-35057 est une vulnérabilité de type Cross-Site Scripting (XSS) stockée présente dans XenForo. Elle permet à un attaquant d'injecter des scripts malveillants via des mentions de texte structuré, affectant principalement le contenu des anciens messages de profil. Cette vulnérabilité affecte les versions 2.3.0 à 2.3.10 et a été corrigée dans la version 2.3.10.
La vulnérabilité CVE-2026-35057 dans XenForo, affectant les versions antérieures à 2.3.10 et 2.2.19, introduit une vulnérabilité de Cross-Site Scripting (XSS) stockée. Cette faille est exploitée via des mentions malveillantes dans un texte structuré, impactant principalement le contenu des publications de profil héritées. Un attaquant peut injecter des scripts malveillants qui sont stockés dans le système et exécutés lorsque d'autres utilisateurs visualisent le contenu affecté. Cela peut entraîner le vol de cookies, le renvoi vers des sites web malveillants ou la modification du contenu de la page, compromettant la sécurité et l'intégrité du forum. La gravité de l'impact dépend des privilèges de l'utilisateur affecté et de la sensibilité des informations exposées sur le forum.
La vulnérabilité est déclenchée lorsqu'un utilisateur malveillant insère une mention spécialement conçue dans un champ de texte structuré. Ce champ, couramment utilisé dans les publications de profil héritées, ne valide pas correctement l'entrée, ce qui permet l'injection de code JavaScript. Lorsque d'autres utilisateurs visualisent la publication contenant cette mention, le code JavaScript est exécuté dans leur navigateur, permettant à l'attaquant d'effectuer des actions malveillantes. Le succès de l'exploitation dépend de la capacité de l'attaquant à créer une mention qui contourne les mesures de sécurité existantes et de la confiance des utilisateurs dans le contenu du forum.
Organizations and individuals running XenForo forums, particularly those using older versions (2.3.0 - 2.3.10) or those with legacy profile post content. Shared hosting environments where multiple forums share the same server instance are also at increased risk, as a compromise of one forum could potentially impact others.
• php / web:
curl -I https://example.com/forum/mention.php?id=123 | grep -i 'X-XSS-Protection'• php / web: Check XenForo version by examining the XF.version variable in the HTML source code.
• php / web: Review XenForo forum logs for suspicious activity related to profile post creation and modification, specifically looking for unusual characters or patterns in mention content.
• php / web: Use a WAF to monitor for XSS attempts targeting profile post mentions.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer CVE-2026-35057 est de mettre à jour XenForo vers la version 2.3.10 ou supérieure, ou vers la version 2.2.19 ou supérieure. Cette mise à jour inclut des correctifs qui corrigent la vulnérabilité XSS. Il est recommandé d'effectuer la mise à jour dès que possible pour éviter les attaques potentielles. De plus, des audits de sécurité périodiques du forum sont conseillés pour identifier et corriger les éventuelles vulnérabilités. La surveillance des journaux du serveur à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles.
Actualice XenForo a la versión 2.3.10 o 2.2.19, o posterior, para corregir la vulnerabilidad XSS. Esto evitará que los atacantes inyecten scripts maliciosos a través de menciones en el texto estructurado.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Il fait référence aux publications de profil créées à l'aide de versions antérieures de XenForo qui peuvent ne pas avoir les mêmes protections de sécurité que les versions les plus récentes.
Si vous utilisez une version de XenForo antérieure à 2.3.10 ou 2.2.19, vous êtes probablement affecté. Vérifiez votre version de XenForo et mettez-la à jour dès que possible.
Modifiez immédiatement tous les mots de passe d'administrateur, examinez les journaux du serveur à la recherche d'activités suspectes et envisagez de réaliser un audit de sécurité complet.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de désactiver temporairement les mentions dans les publications de profil héritées, bien que cela puisse affecter la fonctionnalité du forum.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.