プラットフォーム
php
コンポーネント
xenforo-2-xss
修正版
2.3.10
2.2.19
CVE-2026-35057は、XenForoの構造化テキストメンションにおける保存型XSS脆弱性です。攻撃者は悪意のあるスクリプトを注入し、他のユーザーがコンテンツを閲覧する際に実行させることができます。この脆弱性は主にレガシープロファイル投稿コンテンツに影響します。影響を受けるバージョンは2.3.0から2.3.10です。バージョン2.3.10で修正されています。
XenForoのCVE-2026-35057脆弱性は、2.3.10以前および2.2.19以前のバージョンに影響を与え、保存型のクロスサイトスクリプティング(XSS)の脆弱性を引き起こします。この脆弱性は、構造化テキスト内の悪意のある言及を通じて悪用され、主にレガシープロファイル投稿コンテンツに影響を与えます。攻撃者は、システム内に保存され、他のユーザーが影響を受けたコンテンツを表示するときに実行される悪意のあるスクリプトを注入できます。これにより、Cookieの窃盗、悪意のあるWebサイトへのリダイレクト、またはページコンテンツの変更につながる可能性があり、フォーラムのセキュリティと完全性が損なわれます。影響の深刻度は、影響を受けたユーザーの権限とフォーラムで公開されている情報の機密性によって異なります。
この脆弱性は、悪意のあるユーザーが構造化テキストフィールドに特別に作成された言及を挿入するときにトリガーされます。このフィールドは、レガシープロファイル投稿で一般的に使用されており、入力を適切に検証しないため、JavaScriptコードの注入が可能になります。この言及を含む投稿を他のユーザーが閲覧すると、JavaScriptコードがそのユーザーのブラウザで実行され、攻撃者が悪意のあるアクションを実行できるようになります。エクスプロイトの成功は、既存のセキュリティ対策を回避できる言及を作成する攻撃者の能力と、フォーラムコンテンツに対するユーザーの信頼に依存します。
Organizations and individuals running XenForo forums, particularly those using older versions (2.3.0 - 2.3.10) or those with legacy profile post content. Shared hosting environments where multiple forums share the same server instance are also at increased risk, as a compromise of one forum could potentially impact others.
• php / web:
curl -I https://example.com/forum/mention.php?id=123 | grep -i 'X-XSS-Protection'• php / web: Check XenForo version by examining the XF.version variable in the HTML source code.
• php / web: Review XenForo forum logs for suspicious activity related to profile post creation and modification, specifically looking for unusual characters or patterns in mention content.
• php / web: Use a WAF to monitor for XSS attempts targeting profile post mentions.
disclosure
エクスプロイト状況
EPSS
0.03% (8% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2026-35057を軽減するための解決策は、XenForoをバージョン2.3.10以降、またはバージョン2.2.19以降に更新することです。この更新には、XSS脆弱性を修正するパッチが含まれています。潜在的な攻撃を防止するために、できるだけ早く更新を実行することをお勧めします。さらに、潜在的な脆弱性を特定して修正するために、フォーラムの定期的なセキュリティ監査が推奨されます。サーバーログを不審なアクティビティについて監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。
Actualice XenForo a la versión 2.3.10 o 2.2.19, o posterior, para corregir la vulnerabilidad XSS. Esto evitará que los atacantes inyecten scripts maliciosos a través de menciones en el texto estructurado.
脆弱性分析と重要アラートをメールでお届けします。
XSS(クロスサイトスクリプティング)は、攻撃者が他のユーザーが閲覧するWebページに悪意のあるスクリプトを注入できるセキュリティ脆弱性の種類です。
これは、XenForoの古いバージョンを使用して作成されたプロファイル投稿を指し、最新バージョンほど同じセキュリティ対策を備えていない場合があります。
2.3.10または2.2.19以前のバージョンのXenForoを使用している場合は、影響を受けている可能性が高いです。XenForoのバージョンを確認し、できるだけ早く更新してください。
すぐにすべての管理者パスワードを変更し、サーバーログを不審なアクティビティについて確認し、完全なセキュリティ監査を検討してください。
すぐに更新できない場合は、一時的にレガシープロファイル投稿での言及を無効にすることを検討してください。ただし、これによりフォーラムの機能に影響を与える可能性があります。