प्लेटफ़ॉर्म
php
घटक
xenforo
में ठीक किया गया
2.3.9
2.2.18
CVE-2026-35055, XenForo के 2.3.0 से 2.3.9 संस्करणों में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। एक हमलावर लाइटबॉक्स में प्रदर्शित पोस्ट सामग्री के साथ इंटरैक्ट करते समय दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है, जिससे उपयोगकर्ताओं के ब्राउज़र में अनपेक्षित कोड निष्पादित हो सकता है। यह भेद्यता XenForo 2.3.9 में ठीक की गई है।
XenForo के संस्करण 2.3.9 से पहले और 2.2.18 से पहले मौजूद CVE-2026-35055 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता फ़ोरम पोस्ट में लाइटबॉक्स कार्यक्षमता के उपयोग में प्रकट होती है। एक हमलावर पोस्ट की सामग्री में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। जब कोई उपयोगकर्ता उस पोस्ट के साथ इंटरैक्ट करता है, उदाहरण के लिए, इसे लाइटबॉक्स में खोलकर, स्क्रिप्ट उपयोगकर्ता के ब्राउज़र संदर्भ में निष्पादित होती है। यह हमलावर को संभावित रूप से कुकीज़ चुराने, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने या पृष्ठ सामग्री को संशोधित करने की अनुमति देता है, जिससे फ़ोरम की सुरक्षा और अखंडता से समझौता होता है। इस मुद्दे की गंभीरता इस तथ्य में निहित है कि यह उन सभी उपयोगकर्ताओं को प्रभावित कर सकता है जो भेद्य सामग्री के साथ इंटरैक्ट करते हैं, खासकर जिनके पास प्रशासनिक विशेषाधिकार हैं।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को फ़ोरम पोस्ट में दुर्भावनापूर्ण सामग्री इंजेक्ट करने में सक्षम होना चाहिए। यह एक ऐसे फ़ोरम के माध्यम से प्राप्त किया जा सकता है जहां उपयोगकर्ता पर्याप्त सत्यापन के बिना सामग्री पोस्ट कर सकते हैं, या अन्य भेद्यताओं का शोषण करके जो कोड इंजेक्शन की अनुमति देते हैं। एक बार कोड इंजेक्ट हो जाने के बाद, स्क्रिप्ट निष्पादन तब ट्रिगर होता है जब कोई उपयोगकर्ता लाइटबॉक्स में पोस्ट खोलता है। हमलावर उपयोगकर्ताओं को दुर्भावनापूर्ण सामग्री के साथ इंटरैक्ट करने के लिए प्रेरित करने के लिए सामाजिक इंजीनियरिंग तकनीकों का उपयोग कर सकता है। हमले की प्रभावशीलता उपयोगकर्ता के ब्राउज़र कॉन्फ़िगरेशन और स्थापित एक्सटेंशन पर निर्भर करती है, लेकिन सामान्य तौर पर, यह फ़ोरम और उसके उपयोगकर्ताओं के लिए एक महत्वपूर्ण जोखिम है।
Organizations and individuals using XenForo versions 2.3.0 through 2.3.9 and versions prior to 2.2.18 are at risk. This includes forums used for internal communication, customer support, or public discussions. Shared hosting environments running XenForo are particularly vulnerable, as they may be more difficult to patch quickly.
• php / web:
curl -I https://example.com/lightbox.php?content=<script>alert(1)</script> | grep -i content-type• php / web: Check XenForo version by inspecting the HTTP headers or HTML source code for version identifiers. • php / web: Review XenForo access and error logs for suspicious activity related to lightbox usage or unusual script injections. • php / web: Monitor for unusual JavaScript execution patterns within the forum environment using browser developer tools.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35055 को कम करने का समाधान XenForo को संस्करण 2.3.9 या उच्चतर, या संस्करण 2.2.18 या उच्चतर में अपडेट करना है। इस अपडेट में लाइटबॉक्स हैंडलिंग में XSS भेद्यता को ठीक करने वाले सुरक्षा पैच शामिल हैं। शोषण के जोखिम को कम करने के लिए जितनी जल्दी हो सके अपडेट करना उचित है। इसके अतिरिक्त, अपने फ़ोरम की सुरक्षा नीतियों की समीक्षा करें, जिसमें उपयोगकर्ता इनपुट सत्यापन और हमले की सतह को कम करने के लिए सामग्री सुरक्षा नीति (CSP) का कार्यान्वयन शामिल है। किसी भी अपडेट को लागू करने से पहले अपने फ़ोरम का बैकअप लेना महत्वपूर्ण है ताकि समस्या होने पर सिस्टम को पुनर्स्थापित किया जा सके। फ़ोरम लॉग की निगरानी करके संदिग्ध गतिविधि का पता लगाना भी संभावित हमलों का पता लगाने और उनका जवाब देने में मदद कर सकता है।
Actualice XenForo a la versión 2.3.9 o 2.2.18 o superior. Esto solucionará la vulnerabilidad de Cross-Site Scripting (XSS) relacionada con el uso de lightbox en las publicaciones. La actualización se puede realizar a través del panel de administración de XenForo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित किया जा सकता है, उनकी कुकीज़ चोरी हो सकती हैं, या पृष्ठ सामग्री को संशोधित किया जा सकता है।
CSP जैसे अतिरिक्त सुरक्षा उपाय लागू करें और फ़ोरम लॉग की निगरानी करें।
ऐसे भेद्यता स्कैनर हैं जो इस भेद्यता की पहचान करने में मदद कर सकते हैं, लेकिन अपडेट सबसे प्रभावी समाधान है।
बैकअप फ़ोरम फ़ाइलों और डेटाबेस की एक प्रति है। अपडेट के दौरान समस्या होने पर सिस्टम को पुनर्स्थापित करने में सक्षम होने के लिए यह महत्वपूर्ण है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।