प्लेटफ़ॉर्म
php
घटक
xenforo
में ठीक किया गया
2.3.5
CVE-2025-71278 एक सुरक्षा भेद्यता है जो XenForo के संस्करण 2.3.0 से 2.3.5 तक मौजूद है. यह भेद्यता OAuth2 क्लाइंट अनुप्रयोगों को उनके इच्छित प्राधिकरण स्तर से परे पहुंच प्राप्त करने की अनुमति देती है. इससे अनधिकृत डेटा एक्सेस का खतरा है. इस समस्या को हल करने के लिए, XenForo को संस्करण 2.3.5 में अपडेट करना आवश्यक है.
यह भेद्यता हमलावरों को OAuth2 क्लाइंट एप्लिकेशन के माध्यम से अनधिकृत स्कोप का अनुरोध करने की अनुमति देती है. इसका मतलब है कि वे उन डेटा तक पहुंच प्राप्त कर सकते हैं जिसके लिए उन्हें एक्सेस करने की अनुमति नहीं है. उदाहरण के लिए, एक हमलावर उपयोगकर्ता की निजी जानकारी, वित्तीय डेटा या अन्य संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है. इस भेद्यता का उपयोग अन्य प्रणालियों में आगे बढ़ने के लिए भी किया जा सकता है, जिससे व्यापक क्षति हो सकती है. OAuth2 प्रमाणीकरण का उपयोग करने वाले किसी भी XenForo इंस्टॉलेशन के लिए यह एक गंभीर खतरा है.
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है. अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन संभावित जोखिम को कम करने के लिए तत्काल कार्रवाई की सिफारिश की जाती है. CISA ने इस CVE को अपनी KEV सूची में शामिल करने की संभावना पर विचार किया है.
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-71278 को कम करने का सबसे प्रभावी तरीका XenForo को संस्करण 2.3.5 में अपडेट करना है. यदि तत्काल अपडेट संभव नहीं है, तो OAuth2 क्लाइंट अनुप्रयोगों के लिए अनुरोधित स्कोप को सीमित करने पर विचार करें. यह अनधिकृत एक्सेस के जोखिम को कम करने में मदद कर सकता है. इसके अतिरिक्त, OAuth2 प्रमाणीकरण के लिए मजबूत पासवर्ड और बहु-कारक प्रमाणीकरण का उपयोग करें. नियमित रूप से लॉग की निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके.
XenForo को संस्करण 2.3.5 या बाद के संस्करण में अपडेट करें। यह अपडेट OAuth2 क्लाइंट एप्लिकेशन को अनधिकृत स्कोप का अनुरोध करने की अनुमति देने वाले भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-71278 XenForo के संस्करण 2.3.0 से 2.3.5 तक OAuth2 क्लाइंट अनुप्रयोगों को अनधिकृत स्कोप का अनुरोध करने की अनुमति देने वाली भेद्यता है, जिससे डेटा एक्सेस का जोखिम होता है.
यदि आप XenForo के संस्करण 2.3.0 से 2.3.5 का उपयोग कर रहे हैं और OAuth2 प्रमाणीकरण का उपयोग कर रहे हैं, तो आप प्रभावित हैं.
XenForo को संस्करण 2.3.5 में अपडेट करें. यदि तत्काल अपडेट संभव नहीं है, तो OAuth2 क्लाइंट अनुप्रयोगों के लिए अनुरोधित स्कोप को सीमित करें.
अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन संभावित जोखिम को कम करने के लिए तत्काल कार्रवाई की सिफारिश की जाती है.
कृपया XenForo की आधिकारिक वेबसाइट पर जाएं और सुरक्षा सलाहकार देखें.
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।