MEDIUMCVE-2025-71280CVSS 6.2

XenForo ローカルアカウントページのキャッシュによる情報漏洩

プラットフォーム

php

コンポーネント

xenforo

修正版

2.3.7

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-71280は、XenForoにおける情報漏洩の脆弱性です。共有システム環境において、ローカルアカウントページのキャッシュにより、他のユーザーに機密情報が漏洩する可能性があります。影響を受けるバージョンは2.3.0から2.3.7です。この問題はバージョン2.3.7で修正されています。

影響と攻撃シナリオ

XenForoのバージョン2.3.7より前のCVE-2025-71280は、共有環境における情報漏洩のリスクをもたらします。具体的には、ローカルアカウントページのキャッシュメカニズムにより、同じブラウザまたはマシンを共有する他のローカルユーザーに機密性の高いユーザー情報が公開される可能性があります。これは、共有コンピューターラボ、公共図書館、XenForoにアクセスするために複数の人が同じデバイスを使用する状況など、特に懸念されます。漏洩する可能性のある情報には、個人情報、構成設定、ユーザーアカウントページに表示されるその他のデータが含まれます。この問題の重大性は、ローカルの攻撃者が認証情報や特権を必要とせずに、容易にこの情報にアクセスできることにあります。

悪用の状況

この脆弱性は、複数のユーザーが同じマシンまたはブラウザを共有する環境で簡単に悪用できます。ローカルの攻撃者は、別のユーザーの認証情報にアクセスする必要なく、この脆弱性を悪用できます。つまり、ユーザーがXenForoアカウントにログインした後、同じブラウザまたはマシンを使用する別のユーザーは、キャッシュされたアカウントページにアクセスして機密情報を表示できます。共有環境では、デバイスの共有に関連するセキュリティリスクについてユーザーが認識していない場合、悪用の可能性は高くなります。悪用の複雑さは低く、高度な技術スキルや特殊なツールは必要ありません。

リスク対象者翻訳中…

Shared hosting environments are particularly at risk, as multiple users often share the same server resources. Organizations with public computer labs or environments where users routinely share machines are also vulnerable. Users with older XenForo installations (2.3.0 - 2.3.7) who have not yet applied security updates are directly exposed.

検出手順翻訳中…

• php / server:

find /var/www/xenforo/ -name 'account_page.php' -print0 | xargs -0 grep -i 'cache_account_data'

• php / server:

ps aux | grep -i 'xenforo' | grep -i 'account_page'

• generic web: Check XenForo version header in HTTP response. A version below 2.3.7 indicates potential vulnerability.

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントxenforo

ベンダーXenForo

影響範囲修正版

2.3.0 – 2.3.72.3.7

弱点分類 (CWE)

CWE-200

タイムライン

予約済み2026-04-01
公開日2026-04-01
EPSS 更新日2026-04-08

緩和策と回避策

CVE-2025-71280を軽減するための主な解決策は、XenForoをバージョン2.3.7以降に更新することです。この更新により、情報漏洩を可能にするキャッシュの問題が修正されます。さらに、共有環境でユーザー情報を保護するための追加のセキュリティ対策を実装することをお勧めします。これには、各ユーザーにブラウザのシークレットモードまたはプライベートモードを使用する、ログアウト時にCookieと閲覧履歴をクリアするようにブラウザのセキュリティポリシーを設定する、デバイスの共有に関連するセキュリティリスクについてユーザーを教育することが含まれます。より機密性の高い環境では、各ユーザーが専用の環境を持つように、仮想化またはマシン分離ソリューションの実装を検討してください。

修正方法翻訳中…

Actualice XenForo a la versión 2.3.7 o posterior. Esta versión corrige la vulnerabilidad de caché de páginas de cuentas locales que podría exponer información sensible en sistemas compartidos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-71280 とは何ですか？（XenForo の Information Disclosure）

キャッシュとは、データを一時的に保存して、将来より高速にロードできるようにする方法です。この場合、XenForoはアカウントページをキャッシュしており、同じブラウザを共有している他のユーザーがその情報を見ることができました。

XenForo の CVE-2025-71280 による影響を受けていますか？

できるだけ早くXenForoをバージョン2.3.7以降に更新してください。これは、フォーラムを保護するための最も重要なステップです。

XenForo の CVE-2025-71280 を修正するにはどうすればよいですか？

はい、シークレット/プライベートモードは役立ちます。Cookieや閲覧履歴を保存しないからです。ただし、完全な解決策ではありません。なぜなら、キャッシュに影響を与える可能性のある他の要因があるからです。

CVE-2025-71280 は積極的に悪用されていますか？

ユーザーにデバイスの共有に関連するリスクについて教育し、強力でユニークなパスワードを使用するように促してください。

CVE-2025-71280 に関する XenForo の公式アドバイザリはどこで確認できますか？

ユーザーのアカウントページに表示されるすべての情報、たとえば、ユーザー名、メールアドレス、署名、およびその他のカスタム設定。