Platform
php
Component
xenforo
Opgelost in
2.3.7
CVE-2025-71280 is een informatie lek in XenForo dat optreedt door lokale account page caching op gedeelde systemen. Op systemen waar meerdere gebruikers een browser of machine delen, kunnen gecachte account pagina's gevoelige gebruikersinformatie blootleggen aan andere lokale gebruikers. Dit kan leiden tot privacy schendingen en ongeautoriseerde toegang tot persoonlijke gegevens. De kwetsbaarheid treft XenForo versies 2.3.0 tot en met 2.3.7. De kwetsbaarheid is verholpen in versie 2.3.7.
CVE-2025-71280 in XenForo, die versies vóór 2.3.7 treft, vormt een risico op gegevenslekken in gedeelde omgevingen. Specifiek kan het lokale accountpagina-caching mechanisme gevoelige gebruikersinformatie blootleggen aan andere lokale gebruikers die dezelfde browser of computer delen. Dit is vooral zorgwekkend in gedeelde computerlabs, openbare bibliotheken of in elke situatie waarin meerdere personen hetzelfde apparaat gebruiken om toegang te krijgen tot XenForo. De gecompromitteerde informatie kan persoonlijke gegevens, configuratievoorkeuren of alle andere gegevens omvatten die zichtbaar zijn op de accountpagina van de gebruiker. De ernst van dit probleem ligt in de eenvoud waarmee een lokale aanvaller deze informatie kan verkrijgen zonder dat er inloggegevens of verhoogde privileges nodig zijn.
Deze kwetsbaarheid is gemakkelijk uit te buiten in omgevingen waar meerdere gebruikers dezelfde computer of browser delen. Een lokale aanvaller heeft geen toegang tot de inloggegevens van een andere gebruiker nodig om de kwetsbaarheid te benutten. Simpel gezegd, nadat een gebruiker is ingelogd op hun XenForo-account, kan een andere gebruiker die dezelfde browser of computer gebruikt, toegang krijgen tot de gecachte accountpagina en gevoelige informatie bekijken. De waarschijnlijkheid van uitbuiting is hoog in gedeelde omgevingen, vooral als gebruikers zich niet bewust zijn van de beveiligingsrisico's die verband houden met het delen van apparaten. De complexiteit van de uitbuiting is laag, omdat er geen geavanceerde technische vaardigheden of gespecialiseerde tools nodig zijn.
Shared hosting environments are particularly at risk, as multiple users often share the same server resources. Organizations with public computer labs or environments where users routinely share machines are also vulnerable. Users with older XenForo installations (2.3.0 - 2.3.7) who have not yet applied security updates are directly exposed.
• php / server:
find /var/www/xenforo/ -name 'account_page.php' -print0 | xargs -0 grep -i 'cache_account_data'• php / server:
ps aux | grep -i 'xenforo' | grep -i 'account_page'• generic web: Check XenForo version header in HTTP response. A version below 2.3.7 indicates potential vulnerability.
disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste oplossing om CVE-2025-71280 te beperken is het bijwerken van XenForo naar versie 2.3.7 of hoger. Deze update corrigeert het caching-probleem dat de gegevensblootlegging mogelijk maakt. Bovendien wordt aanbevolen om aanvullende beveiligingsmaatregelen te implementeren om gebruikersinformatie in gedeelde omgevingen te beschermen. Dit kan het gebruik van incognito- of privémodi in de browser voor elke gebruiker omvatten, het configureren van browserbeveiligingsbeleid om cookies en browsegeschiedenis te wissen bij het uitloggen en het opleiden van gebruikers over de beveiligingsrisico's die verband houden met het delen van apparaten. Voor gevoeligere omgevingen kunt u overwegen virtualisatie- of machine-isolatielossingen te implementeren om ervoor te zorgen dat elke gebruiker zijn eigen toegewijde omgeving heeft.
Actualice XenForo a la versión 2.3.7 o posterior. Esta versión corrige la vulnerabilidad de caché de páginas de cuentas locales que podría exponer información sensible en sistemas compartidos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
De cache is een manier om gegevens tijdelijk op te slaan, zodat ze in de toekomst sneller worden geladen. In dit geval cachede XenForo accountpagina's, waardoor andere gebruikers die dezelfde browser deelden, die informatie konden zien.
Werk XenForo zo snel mogelijk bij naar versie 2.3.7 of hoger. Dit is de belangrijkste stap om uw forum te beschermen.
Ja, de incognito-/privémodus helpt, omdat cookies en browsegeschiedenis niet worden opgeslagen. Het is echter geen complete oplossing, omdat andere factoren het cachen kunnen beïnvloeden.
Informeer uw gebruikers over de risico's van het delen van apparaten en promoot het gebruik van sterke, unieke wachtwoorden.
Alle informatie die zichtbaar is op de accountpagina van de gebruiker, zoals hun naam, e-mailadres, handtekening en alle andere aangepaste instellingen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.