無料スキャン
HIGHCVE-2026-35056CVSS 7.2

認証済み管理者経由のXenForo リモートコード実行

プラットフォーム

php

コンポーネント

xenforo

修正版

2.3.9

2.2.18

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年4月
NVDで見る
保存

CVE-2026-35056は、認証された悪意のある管理者ユーザーによるリモートコード実行(RCE)の脆弱性です。管理者パネルへのアクセス権を持つ攻撃者は、サーバー上で任意のコードを実行できます。この脆弱性はXenForo 2.3.0から2.3.9のバージョンに影響します。バージョン2.3.9で修正されています。

影響と攻撃シナリオ

XenForoのCVE-2026-35056脆弱性は、2.3.9以前および2.2.18以前のバージョンに影響を与え、認証された悪意のある管理者ユーザーによるリモートコード実行(RCE)を可能にします。 つまり、管理者パネルへのアクセス権を持つが、悪意のある意図を持つ管理者は、フォーラムをホストしているサーバー上で任意のコードを実行できます。 影響は深刻であり、攻撃者はサーバーを完全に制御したり、機密のユーザーデータを侵害したり、フォーラムコンテンツを変更したり、他のシステムへの攻撃の足がかりとしてサーバーを使用したりする可能性があります。 この脆弱性は、特定の管理者機能の処理における欠陥を利用して悪意のあるコードの挿入を可能にすることで悪用されます。 問題の深刻さは、高度な技術スキルを必要とせずに、悪意のある管理者が簡単に悪用できることにあります。

悪用の状況

この脆弱性は、適切に検証されていない特定の管理者パネル機能と悪意のある管理者が相互作用するとトリガーされます。 攻撃者は、入力パラメータを介して、またはシステムが処理するデータを操作することによって、悪意のあるコードを挿入できます。 挿入されたコードは、管理者の権限で実行され、サーバーのすべてのリソースへのアクセスが可能になります。 悪用には外部認証は必要なく、攻撃者は既存の管理者である必要があります。 悪用の複雑さは比較的低く、幅広い攻撃者がアクセスできます。 ユーザー入力の適切な検証の欠如が、この脆弱性の主な原因です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

EPSS

0.43% (62% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H7.2HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredHigh攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
高 — 管理者または特権アカウントが必要。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントxenforo
ベンダーXenForo
影響範囲修正版
2.3.0 – 2.3.92.3.9
0 – 2.2.182.2.18

弱点分類 (CWE)

CWE-94

タイムライン

  1. 予約済み
  2. 公開日
  3. EPSS 更新日

緩和策と回避策

CVE-2026-35056を軽減するための最も効果的な方法は、XenForoをバージョン2.3.9以降、またはバージョン2.2.18以降に更新することです。 これらのバージョンには、脆弱性を排除する修正が含まれています。 フォーラムを保護するために、できるだけ早くこの更新を実行することが重要です。 さらに、フォーラム管理者の権限を確認し、実際に必要なユーザーのみにアクセスを制限することをお勧めします。 強力なパスワードポリシーを実装し、管理者のための二要素認証(2FA)を有効にすることで、追加のセキュリティレイヤーを追加できます。 サーバーログを監視して疑わしいアクティビティを検出することも、潜在的な攻撃を検出して対応するのに役立ちます。

修正方法

XenForoをバージョン2.3.9または2.2.18、またはそれ以降のバージョンにアップデートしてください。これにより、認証済み管理者ユーザーに対するリモートコード実行の脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35056 とは何ですか?(XenForo の Remote Code Execution (RCE))

2.3.9以前および2.2.18以前のバージョンがこの脆弱性に対して脆弱です。

XenForo の CVE-2026-35056 による影響を受けていますか?

管理者パネルの「フォーラム情報」セクションでXenForoのバージョンを確認してください。

XenForo の CVE-2026-35056 を修正するにはどうすればよいですか?

すぐに更新できない場合は、管理者アクセスを制限し、サーバーログを監視することを検討してください。

CVE-2026-35056 は積極的に悪用されていますか?

特定のツールはありませんが、サーバーログで最近変更されたファイルや異常なアクティビティを検索できます。

CVE-2026-35056 に関する XenForo の公式アドバイザリはどこで確認できますか?

この脆弱性は、XenForoの開発者によって発見され、報告されました。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索