प्लेटफ़ॉर्म
php
घटक
xenforo
में ठीक किया गया
2.3.9
CVE-2026-35054 XenForo में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को BB कोड के माध्यम से दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। इससे उपयोगकर्ताओं के सत्रों का अपहरण और संवेदनशील जानकारी तक पहुंच प्राप्त की जा सकती है। यह भेद्यता XenForo के 2.3.0 से 2.3.9 संस्करणों को प्रभावित करती है। संस्करण 2.3.9 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-35054, XenForo के 2.3.9 से पहले के संस्करणों को प्रभावित करता है, एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता का प्रतिनिधित्व करता है। एक हमलावर फ़ोरम या पोस्ट में BB कोड का उपयोग करके दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है। यह कोड तब डेटाबेस में संग्रहीत किया जाता है और अन्य उपयोगकर्ताओं द्वारा प्रभावित सामग्री देखने पर निष्पादित किया जाता है। संभावित प्रभाव में कुकीज़ की चोरी, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट या पृष्ठ सामग्री का संशोधन शामिल है, जिससे फ़ोरम की सुरक्षा और अखंडता से समझौता होता है। CVSS के अनुसार इस भेद्यता की गंभीरता को 6.4 के रूप में रेट किया गया है। सफल शोषण हमलावर को उपयोगकर्ता खातों को नियंत्रित करने, उपयोगकर्ताओं की ओर से कार्रवाई करने या प्रशासकों के लिए सुलभ क्षेत्रों में शोषण किए जाने पर फ़ोरम प्रशासन को समझौता करने की अनुमति दे सकता है।
यह भेद्यता BB कोड के हेरफेर के माध्यम से शोषण किया जाता है। एक हमलावर BB कोड टैग में छिपे हुए दुर्भावनापूर्ण जावास्क्रिप्ट कोड वाली पोस्ट या संदेश बना सकता है। जब अन्य उपयोगकर्ता इस पोस्ट को देखते हैं, तो जावास्क्रिप्ट कोड उनके ब्राउज़र में निष्पादित होता है। शोषण की प्रभावशीलता फ़ोरम कॉन्फ़िगरेशन और लागू किए गए सुरक्षा उपायों पर निर्भर करती है। BB कोड का उचित सत्यापन या सैनिटाइजेशन की कमी हमलावरों को दुर्भावनापूर्ण कोड इंजेक्ट करने की अनुमति देती है। डेटाबेस में दुर्भावनापूर्ण कोड की दृढ़ता का मतलब है कि यदि इसे जल्दी से संबोधित नहीं किया गया तो यह भेद्यता बड़ी संख्या में उपयोगकर्ताओं को प्रभावित कर सकती है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35054 को कम करने के लिए मुख्य समाधान XenForo को संस्करण 2.3.9 या उच्चतर में अपडेट करना है। इस अपडेट में BB कोड के माध्यम से दुर्भावनापूर्ण कोड के इंजेक्शन और निष्पादन को रोकने के लिए आवश्यक फिक्स शामिल हैं। इस बीच, फ़ोरम प्रशासकों को प्रकाशित सामग्री, विशेष रूप से नए या अविश्वसनीय उपयोगकर्ताओं से आने वाली सामग्री की बारीकी से निगरानी करने की सलाह दी जाती है। सख्त मॉडरेशन नीतियों को लागू करने और सामग्री फ़िल्टरिंग टूल का उपयोग करने से अन्य उपयोगकर्ताओं द्वारा देखे जाने से पहले संभावित दुर्भावनापूर्ण सामग्री का पता लगाने और हटाने में मदद मिल सकती है। उपयोगकर्ताओं को संदिग्ध लिंक पर क्लिक करने या फ़ोरम के भीतर अज्ञात स्रोतों से फ़ाइलें डाउनलोड करने से भी बचने की सलाह दी जाती है।
Actualice XenForo a la versión 2.3.9 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización se puede realizar a través del panel de administración de XenForo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
BB कोड एक सरल मार्कअप सिस्टम है जिसका उपयोग फ़ोरम में टेक्स्ट को फॉर्मेट करने, चित्र डालने और लिंक बनाने के लिए किया जाता है।
यदि आप XenForo के 2.3.9 से पहले के संस्करण का उपयोग कर रहे हैं, तो आपका फ़ोरम भेद्य है।
तुरंत XenForo के नवीनतम संस्करण में अपडेट करें और एक सुरक्षा ऑडिट करें।
सख्त मॉडरेशन नीतियां लागू करें और सामग्री को फ़िल्टर करने के लिए सुरक्षा एक्सटेंशन का उपयोग करने पर विचार करें।
हाँ, संस्करण 2.3.9 या उच्चतर में अपडेट करने में इस भेद्यता के शोषण को रोकने के लिए आवश्यक फिक्स शामिल हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।