Plataforma
php
Componente
xenforo
Corrigido em
2.3.7
CVE-2025-71280 é uma vulnerabilidade de Divulgação de Informação no XenForo que permite a exposição de dados sensíveis de usuários em sistemas compartilhados. Páginas de contas em cache podem revelar informações a outros usuários locais. Afeta versões 2.3.0 até 2.3.7 do XenForo. A vulnerabilidade foi corrigida na versão 2.3.7.
A vulnerabilidade CVE-2025-71280 no XenForo, afetando versões anteriores à 2.3.7, representa um risco de divulgação de informações em ambientes compartilhados. Especificamente, o sistema de armazenamento em cache das páginas de conta locais pode expor dados sensíveis de um usuário a outros usuários que compartilham o mesmo navegador ou computador. Isso é particularmente preocupante em laboratórios de informática compartilhados, bibliotecas públicas ou qualquer situação em que várias pessoas utilizam a mesma máquina para acessar o XenForo. As informações comprometidas podem incluir detalhes pessoais, preferências de configuração ou qualquer outro dado visível na página de conta do usuário. A gravidade deste problema reside na facilidade com que um atacante local pode obter acesso a essas informações sem a necessidade de credenciais ou privilégios elevados.
Esta vulnerabilidade é facilmente explorada em ambientes onde vários usuários compartilham o mesmo computador ou navegador. Um atacante local não precisa ter acesso às credenciais de outro usuário para se aproveitar da vulnerabilidade. Simplesmente, depois que um usuário tiver feito login em sua conta no XenForo, outro usuário que usar o mesmo navegador ou computador pode acessar a página de conta armazenada em cache e ver as informações sensíveis. A probabilidade de exploração é alta em ambientes compartilhados, especialmente se os usuários não estiverem cientes dos riscos de segurança associados ao uso compartilhado de dispositivos. A complexidade da exploração é baixa, pois não requer habilidades técnicas avançadas ou ferramentas especializadas.
Shared hosting environments are particularly at risk, as multiple users often share the same server resources. Organizations with public computer labs or environments where users routinely share machines are also vulnerable. Users with older XenForo installations (2.3.0 - 2.3.7) who have not yet applied security updates are directly exposed.
• php / server:
find /var/www/xenforo/ -name 'account_page.php' -print0 | xargs -0 grep -i 'cache_account_data'• php / server:
ps aux | grep -i 'xenforo' | grep -i 'account_page'• generic web: Check XenForo version header in HTTP response. A version below 2.3.7 indicates potential vulnerability.
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A solução principal para mitigar o CVE-2025-71280 é atualizar o XenForo para a versão 2.3.7 ou superior. Esta atualização corrige o problema de armazenamento em cache que permite a divulgação de informações. Além disso, recomenda-se implementar medidas de segurança adicionais para proteger as informações do usuário em ambientes compartilhados. Isso pode incluir o uso de navegadores no modo incógnito ou privado para cada usuário, a configuração de políticas de segurança do navegador para limpar os cookies e o histórico de navegação ao sair da sessão e a educação dos usuários sobre os riscos de segurança associados ao compartilhamento de dispositivos. Para ambientes mais sensíveis, pode-se considerar a implementação de soluções de virtualização ou isolamento de máquinas para garantir que cada usuário tenha seu próprio ambiente dedicado.
Actualice XenForo a la versión 2.3.7 o posterior. Esta versión corrige la vulnerabilidad de caché de páginas de cuentas locales que podría exponer información sensible en sistemas compartidos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
O cache é uma forma de armazenar dados temporariamente para que sejam carregados mais rapidamente no futuro. Neste caso, o XenForo armazenava páginas de conta, permitindo que outros usuários vissem essas informações se compartilhassem o mesmo navegador.
Atualize o XenForo para a versão 2.3.7 ou superior o mais rápido possível. Esta é a medida mais importante para proteger seu fórum.
Sim, o modo incógnito/privado ajuda, pois não armazena cookies nem histórico de navegação. No entanto, não é uma solução completa, pois outros fatores podem influenciar o cache.
Eduque seus usuários sobre os riscos de compartilhar dispositivos e promova o uso de senhas fortes e exclusivas.
Qualquer informação visível na página de conta do usuário, como seu nome, endereço de e-mail, assinatura e quaisquer outras configurações personalizadas.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.