CRITICALCVE-2025-71279CVSS 9.8

XenForo Passkey セキュリティバイパス

プラットフォーム

php

コンポーネント

xenforo

修正版

2.3.7

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-71279は、XenForoのバージョン2.3.0から2.3.7に存在するセキュリティ上の問題です。この脆弱性は、ユーザーアカウントに登録されたPasskey認証に影響を与え、攻撃者が認証をバイパスする可能性があります。影響を受けるバージョンを更新し、Passkey認証のセキュリティを確保することが重要です。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はPasskeyを利用して認証を回避し、ユーザーアカウントに不正にアクセスする可能性があります。これにより、機密情報へのアクセス、データの改ざん、さらにはXenForoフォーラム全体の制御権を奪われるリスクがあります。Passkeyは、従来のパスワードよりも安全な認証方法として期待されていますが、この脆弱性により、その利点が損なわれる可能性があります。攻撃者は、この脆弱性を利用して、フォーラムの管理者アカウントを乗っ取り、悪意のあるコードを実行したり、ユーザーデータを盗み出したりする可能性があります。

悪用の状況

この脆弱性は、XenForoのPasskey認証機能に直接影響を与えます。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明ですが、CVSSスコアがCRITICALであるため、注意が必要です。

リスク対象者翻訳中…

Organizations and individuals using XenForo versions 2.3.0 through 2.3.7 are at risk. This is particularly concerning for forums with a high reliance on Passkey authentication for user login, as it significantly weakens the security posture of those accounts. Shared hosting environments where multiple users share the same XenForo instance are also at increased risk.

検出手順翻訳中…

• php: Examine XenForo logs for unusual authentication patterns or errors related to Passkey handling. Look for attempts to bypass authentication mechanisms.

grep -i 'passkey' /path/to/xenforo/logs/error.log

• php: Check XenForo configuration files for any modifications that could weaken authentication security. • generic web: Monitor for unusual login activity or account changes, particularly for users who have enabled Passkey authentication.

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.10% (29% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントxenforo

ベンダーXenForo

影響範囲修正版

2.3.0 – 2.3.72.3.7

弱点分類 (CWE)

CWE-287

タイムライン

予約済み2026-04-01
公開日2026-04-01
EPSS 更新日2026-04-08

緩和策と回避策

この脆弱性への最も効果的な対策は、XenForoをバージョン2.3.7にアップデートすることです。アップデートがすぐに利用できない場合、Passkey認証の使用を一時的に停止するか、より強力な認証方法（二段階認証など）を導入することを検討してください。WAF（Web Application Firewall）を導入し、Passkey認証に関連する不正なリクエストをブロックすることも有効です。XenForoのログを監視し、異常なアクティビティがないか確認することも重要です。

修正方法

XenForoをバージョン2.3.7以降にアップデートしてください。このバージョンには、Passkeyのセキュリティバイパス脆弱性を軽減するために必要なセキュリティ修正が含まれています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-71279 — Passkey認証の脆弱性 in XenForoとは何ですか？

CVE-2025-71279は、XenForoのバージョン2.3.0から2.3.7において、Passkey認証が攻撃者に悪用される可能性のある脆弱性です。これにより、認証を回避されるリスクがあります。

CVE-2025-71279 in XenForoで影響を受けますか？

XenForoのバージョン2.3.0から2.3.7を使用している場合は、影響を受けます。バージョン2.3.7へのアップデートが必要です。

CVE-2025-71279 in XenForoを修正するにはどうすればよいですか？

XenForoをバージョン2.3.7にアップデートしてください。アップデートが利用できない場合は、Passkey認証の使用を一時停止するか、二段階認証などの代替認証方法を検討してください。

CVE-2025-71279は積極的に悪用されていますか？

現時点では公的な悪用事例は確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。

CVE-2025-71279に関するXenForoの公式アドバイザリはどこで入手できますか？

XenForoの公式ウェブサイトまたはセキュリティアドバイザリページで確認してください。