Plataforma
php
Componente
xenforo
Corrigido em
2.3.5
A vulnerabilidade CVE-2025-71278 permite que aplicações cliente OAuth2 solicitem escopos não autorizados no XenForo. Isso pode permitir que as aplicações cliente obtenham acesso além do nível de autorização pretendido. Afeta as versões 2.3.0 a 2.3.5 do XenForo. A correção está disponível na versão 2.3.5.
A vulnerabilidade CVE-2025-71278 no XenForo afeta as aplicações cliente OAuth2, permitindo que solicitem escopos (scopes) não autorizados. Isso significa que uma aplicação, projetada para acessar um conjunto limitado de dados, pode potencialmente solicitar e obter acesso a informações ou funcionalidades mais amplas do que deveria. O risco é significativo para qualquer cliente XenForo que utilize OAuth2 em versões anteriores a 2.3.5. A exploração bem-sucedida pode resultar na divulgação de informações confidenciais, manipulação de dados ou até mesmo acesso não autorizado a funções administrativas, dependendo dos escopos solicitados e da configuração do sistema. A severidade do CVSS 8.8 indica um alto risco, exigindo atenção imediata.
A vulnerabilidade se manifesta na forma como o XenForo gerencia as solicitações de autorização das aplicações OAuth2. Um atacante pode criar ou comprometer uma aplicação OAuth2 e manipular sua solicitação de autorização para incluir escopos não autorizados. Se o XenForo não validar corretamente esses escopos, a aplicação pode obter acesso a recursos que não deveria. A exploração requer acesso a uma aplicação OAuth2 e a capacidade de modificar sua solicitação de autorização. A probabilidade de exploração depende da prevalência do uso de OAuth2 na instalação do XenForo e da conscientização dos desenvolvedores de aplicações sobre esta vulnerabilidade.
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A solução para CVE-2025-71278 é atualizar o XenForo para a versão 2.3.5 ou superior. Esta atualização corrige a vulnerabilidade ao validar corretamente as solicitações de escopos das aplicações cliente OAuth2. Recomenda-se realizar a atualização o mais rápido possível, especialmente se o seu fórum utiliza OAuth2 para a autenticação ou autorização de aplicações de terceiros. Antes de atualizar, é crucial fazer um backup completo do banco de dados e dos arquivos do fórum. Consulte a documentação oficial do XenForo para obter instruções detalhadas sobre o processo de atualização. Além disso, revise a configuração de suas aplicações OAuth2 para garantir que solicitem apenas os escopos estritamente necessários.
Actualice XenForo a la versión 2.3.5 o posterior. Esta actualización corrige la vulnerabilidad que permite a las aplicaciones cliente OAuth2 solicitar scopes no autorizados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OAuth2 é um protocolo de autorização que permite que aplicações de terceiros acessem recursos protegidos em nome de um usuário, sem a necessidade de o usuário compartilhar suas credenciais diretamente com a aplicação.
Se uma aplicação OAuth2 comprometida explorar esta vulnerabilidade, pode acessar dados do usuário além do que deveria, o que pode comprometer sua privacidade e segurança.
Se não puder atualizar imediatamente, considere restringir os escopos que as aplicações OAuth2 podem solicitar e monitore de perto a atividade OAuth2 no seu fórum.
Consulte a documentação oficial do XenForo em seu site para obter instruções detalhadas sobre como atualizar para a versão 2.3.5 ou superior.
Atualmente, não existe uma ferramenta específica para detectar esta vulnerabilidade. A única forma segura de verificar é confirmar que está utilizando a versão 2.3.5 ou superior do XenForo.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.