無料スキャン
MEDIUMCVE-2026-35054CVSS 6.4

BBコードレンダリングを介したXenForoの保存型クロスサイトスクリプティング

プラットフォーム

php

コンポーネント

xenforo

修正版

2.3.9

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月
NVDで見る
保存

CVE-2026-35054は、XenForoのBBコードレンダリングに関連する保存型XSSの脆弱性です。攻撃者はBBコードを通じて悪意のあるスクリプトを注入し、他のユーザーがコンテンツを閲覧する際に実行させることができます。この脆弱性はバージョン2.3.0から2.3.9に影響します。バージョン2.3.9で修正されています。

影響と攻撃シナリオ

XenForo のバージョン 2.3.9 以前に存在する CVE-2026-35054 は、保存型のクロスサイトスクリプティング (XSS) の脆弱性です。攻撃者は、フォーラムや投稿内で BB コードを使用して悪意のあるコードを注入できます。このコードはデータベースに保存され、他のユーザーが影響を受けたコンテンツを表示すると実行されます。潜在的な影響には、Cookie の窃盗、悪意のある Web サイトへのリダイレクト、またはページコンテンツの改ざんが含まれ、フォーラムのセキュリティと整合性が損なわれます。この脆弱性の深刻度は、CVSS に従って 6.4 と評価されています。攻撃が成功した場合、攻撃者はユーザーアカウントを制御したり、ユーザーの代わりにアクションを実行したり、管理者がアクセスできる領域で悪用された場合、フォーラムの管理を侵害したりする可能性があります。

悪用の状況

この脆弱性は、BB コードの操作によって悪用されます。攻撃者は、BB コードタグに偽装された悪意のある JavaScript コードを含む投稿またはメッセージを作成できます。他のユーザーがこの投稿を表示すると、JavaScript コードがそのユーザーのブラウザで実行されます。エクスプロイトの有効性は、フォーラムの構成と実装されているセキュリティ対策によって異なります。BB コードの適切な検証またはサニタイズがないと、攻撃者は悪意のあるコードを注入できます。データベース内の悪意のあるコードの永続性は、この脆弱性が迅速に対処されない場合、多数のユーザーに影響を与える可能性があることを意味します。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N6.4MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントxenforo
ベンダーXenForo
影響範囲修正版
2.3.0 – 2.3.92.3.9

弱点分類 (CWE)

CWE-79

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

CVE-2026-35054 を軽減するための主な解決策は、XenForo をバージョン 2.3.9 以降に更新することです。この更新には、BB コードを介して悪意のあるコードの注入と実行を防ぐために必要な修正が含まれています。その間、フォーラム管理者は公開コンテンツ、特に新規または信頼できないユーザーからのコンテンツを注意深く監視することをお勧めします。厳格なモデレーションポリシーを実装し、コンテンツフィルタリングツールを使用することで、他のユーザーが閲覧する前に潜在的に悪意のあるコンテンツを検出して削除するのに役立ちます。ユーザーは、疑わしいリンクをクリックしたり、フォーラム内の不明なソースからファイルをダウンロードしたりしないようにアドバイスされています。

修正方法翻訳中…

Actualice XenForo a la versión 2.3.9 o posterior para mitigar la vulnerabilidad de XSS en el renderizado de BB code. Esta actualización corrige la forma en que se procesan los códigos BB, evitando la ejecución de scripts maliciosos inyectados.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35054 とは何ですか?(XenForo の Cross-Site Scripting (XSS))

BB コードは、フォーラムでテキストをフォーマットしたり、画像を追加したり、リンクを作成したりするために使用される簡単なマークアップシステムです。

XenForo の CVE-2026-35054 による影響を受けていますか?

XenForo のバージョン 2.3.9 以前を使用している場合、自分のフォーラムは脆弱です。

XenForo の CVE-2026-35054 を修正するにはどうすればよいですか?

すぐに XenForo の最新バージョンにアップデートし、セキュリティ監査を実施してください。

CVE-2026-35054 は積極的に悪用されていますか?

厳格なモデレーションポリシーを実装し、コンテンツをフィルタリングするためにセキュリティ拡張機能の使用を検討してください。

CVE-2026-35054 に関する XenForo の公式アドバイザリはどこで確認できますか?

はい、バージョン 2.3.9 以降へのアップデートには、この脆弱性の悪用を防ぐために必要な修正が含まれています。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索