प्लेटफ़ॉर्म
php
घटक
xenforo-2-xss
में ठीक किया गया
2.3.10
2.2.19
CVE-2026-35057, XenForo में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जो अन्य उपयोगकर्ताओं द्वारा सामग्री देखने पर निष्पादित होती हैं। यह समस्या XenForo के 2.3.0 से 2.3.10 संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 2.3.10 में ठीक कर दिया गया है।
XenForo में CVE-2026-35057 भेद्यता 2.3.10 से पहले और 2.2.19 से पहले के संस्करणों को प्रभावित करती है, जिससे संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता उत्पन्न होती है। इस खामी का फायदा संरचित पाठ में दुर्भावनापूर्ण उल्लेखों के माध्यम से उठाया जाता है, जो मुख्य रूप से विरासत प्रोफ़ाइल पोस्ट सामग्री को प्रभावित करता है। एक हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकता है जो सिस्टम में संग्रहीत होती है और अन्य उपयोगकर्ताओं द्वारा प्रभावित सामग्री देखने पर निष्पादित होती है। इससे कुकीज़ की चोरी, दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट या पृष्ठ सामग्री में संशोधन हो सकता है, जिससे फ़ोरम की सुरक्षा और अखंडता से समझौता हो सकता है। प्रभाव की गंभीरता प्रभावित उपयोगकर्ता के विशेषाधिकारों और फ़ोरम पर उजागर जानकारी की संवेदनशीलता पर निर्भर करती है।
जब कोई दुर्भावनापूर्ण उपयोगकर्ता संरचित पाठ फ़ील्ड में विशेष रूप से तैयार किया गया उल्लेख सम्मिलित करता है तो यह भेद्यता सक्रिय होती है। यह फ़ील्ड, जिसका उपयोग अक्सर विरासत प्रोफ़ाइल पोस्ट में किया जाता है, इनपुट को ठीक से मान्य नहीं करता है, जिससे JavaScript कोड का इंजेक्शन संभव हो जाता है। जब अन्य उपयोगकर्ता इस उल्लेख वाले पोस्ट को देखते हैं, तो JavaScript कोड उनके ब्राउज़र में निष्पादित होता है, जिससे हमलावर दुर्भावनापूर्ण क्रियाएं कर सकता है। शोषण की सफलता हमलावर की मौजूदा सुरक्षा उपायों को दरकिनार करने वाले उल्लेख बनाने की क्षमता और फ़ोरम सामग्री पर उपयोगकर्ताओं के विश्वास पर निर्भर करती है।
Organizations and individuals running XenForo forums, particularly those using older versions (2.3.0 - 2.3.10) or those with legacy profile post content. Shared hosting environments where multiple forums share the same server instance are also at increased risk, as a compromise of one forum could potentially impact others.
• php / web:
curl -I https://example.com/forum/mention.php?id=123 | grep -i 'X-XSS-Protection'• php / web: Check XenForo version by examining the XF.version variable in the HTML source code.
• php / web: Review XenForo forum logs for suspicious activity related to profile post creation and modification, specifically looking for unusual characters or patterns in mention content.
• php / web: Use a WAF to monitor for XSS attempts targeting profile post mentions.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35057 को कम करने का समाधान XenForo को संस्करण 2.3.10 या उच्चतर, या संस्करण 2.2.19 या उच्चतर में अपडेट करना है। इस अपडेट में XSS भेद्यता को संबोधित करने वाले पैच शामिल हैं। संभावित हमलों को रोकने के लिए जितनी जल्दी हो सके अपडेट करना उचित है। इसके अतिरिक्त, किसी भी संभावित भेद्यता की पहचान और सुधार करने के लिए फ़ोरम के नियमित सुरक्षा ऑडिट की सिफारिश की जाती है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी भी संभावित हमलों का पता लगाने और उनका जवाब देने में मदद कर सकती है।
Actualice XenForo a la versión 2.3.10 o 2.2.19, o posterior, para corregir la vulnerabilidad XSS. Esto evitará que los atacantes inyecten scripts maliciosos a través de menciones en el texto estructurado.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यह उन प्रोफ़ाइल पोस्ट को संदर्भित करता है जो XenForo के पुराने संस्करणों का उपयोग करके बनाए गए थे और उनमें नवीनतम संस्करणों के समान सुरक्षा उपाय नहीं हो सकते हैं।
यदि आप XenForo के 2.3.10 या 2.2.19 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। अपने XenForo संस्करण की जांच करें और जितनी जल्दी हो सके अपडेट करें।
तुरंत सभी व्यवस्थापक पासवर्ड बदलें, संदिग्ध गतिविधि के लिए सर्वर लॉग की जांच करें और पूर्ण सुरक्षा ऑडिट करने पर विचार करें।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो विरासत प्रोफ़ाइल पोस्ट में उल्लेखों को अस्थायी रूप से अक्षम करने पर विचार करें, हालांकि इससे फ़ोरम की कार्यक्षमता प्रभावित हो सकती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।