Platform
php
Component
xenforo-2-xss
Opgelost in
2.3.10
2.2.19
CVE-2026-35057 is een stored Cross-Site Scripting (XSS) kwetsbaarheid in XenForo in structured text mentions. Een aanvaller kan kwaadaardige scripts injecteren via mentions die worden opgeslagen en uitgevoerd wanneer andere gebruikers de inhoud bekijken. De kwetsbaarheid treft XenForo versies 2.3.0 tot 2.3.10 en 2.2.x voor 2.2.19. De kwetsbaarheid is verholpen in versie 2.3.10 en 2.2.19.
De CVE-2026-35057 kwetsbaarheid in XenForo, die versies vóór 2.3.10 en 2.2.19 treft, introduceert een opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid. Deze fout wordt uitgebuit via kwaadaardige vermeldingen in gestructureerde tekst, voornamelijk impact op legacy profielpost content. Een aanvaller kan kwaadaardige scripts injecteren die in het systeem worden opgeslagen en worden uitgevoerd wanneer andere gebruikers de getroffen content bekijken. Dit kan leiden tot diefstal van cookies, doorverwijzing naar kwaadaardige websites of manipulatie van de pagina-inhoud, waardoor de veiligheid en integriteit van het forum in gevaar komt. De ernst van de impact hangt af van de privileges van de getroffen gebruiker en de gevoeligheid van de informatie die op het forum wordt vrijgegeven.
De kwetsbaarheid wordt geactiveerd wanneer een kwaadwillende gebruiker een speciaal samengestelde vermelding in een veld voor gestructureerde tekst invoegt. Dit veld, dat vaak wordt gebruikt in legacy profielposts, valideert de invoer niet correct, waardoor de injectie van JavaScript-code mogelijk is. Wanneer andere gebruikers de post met deze vermelding bekijken, wordt de JavaScript-code in hun browser uitgevoerd, waardoor de aanvaller kwaadaardige acties kan uitvoeren. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om een vermelding te creëren die bestaande beveiligingsmaatregelen omzeilt en het vertrouwen van gebruikers in de forum content.
Organizations and individuals running XenForo forums, particularly those using older versions (2.3.0 - 2.3.10) or those with legacy profile post content. Shared hosting environments where multiple forums share the same server instance are also at increased risk, as a compromise of one forum could potentially impact others.
• php / web:
curl -I https://example.com/forum/mention.php?id=123 | grep -i 'X-XSS-Protection'• php / web: Check XenForo version by examining the XF.version variable in the HTML source code.
• php / web: Review XenForo forum logs for suspicious activity related to profile post creation and modification, specifically looking for unusual characters or patterns in mention content.
• php / web: Use a WAF to monitor for XSS attempts targeting profile post mentions.
disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De oplossing om CVE-2026-35057 te mitigeren is om XenForo te updaten naar versie 2.3.10 of hoger, of naar versie 2.2.19 of hoger. Deze update bevat patches die de XSS-kwetsbaarheid aanpakken. Het wordt aanbevolen om de update zo snel mogelijk uit te voeren om potentiële aanvallen te voorkomen. Daarnaast worden regelmatige beveiligingsaudits van het forum aanbevolen om potentiële kwetsbaarheden te identificeren en te corrigeren. Het monitoren van server logs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice XenForo a la versión 2.3.10 o 2.2.19, o posterior, para corregir la vulnerabilidad XSS. Esto evitará que los atacantes inyecten scripts maliciosos a través de menciones en el texto estructurado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
Het verwijst naar profielposts die zijn gemaakt met behulp van oudere versies van XenForo en mogelijk niet over dezelfde beveiligingsmaatregelen beschikken als de nieuwste versies.
Als u een versie van XenForo gebruikt die vóór 2.3.10 of 2.2.19 is, is de kans groot dat u getroffen bent. Controleer uw XenForo-versie en update zo snel mogelijk.
Wijzig onmiddellijk alle administrator wachtwoorden, bekijk server logs op verdachte activiteiten en overweeg een volledige beveiligingsaudit uit te voeren.
Als u niet onmiddellijk kunt updaten, overweeg dan tijdelijk vermeldingen in legacy profielposts uit te schakelen, hoewel dit de functionaliteit van het forum kan beïnvloeden.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.