Plataforma
php
Componente
xenforo-2-xss
Corrigido em
2.3.10
2.2.19
A vulnerabilidade CVE-2026-35057 é uma falha de Cross-Site Scripting (XSS) armazenado em menções no XenForo. Um atacante pode injetar scripts maliciosos através de menções criadas, que são armazenadas e executadas quando outros usuários visualizam o conteúdo. Afeta as versões 2.3.0 a 2.3.10. Foi corrigida na versão 2.3.10.
A vulnerabilidade CVE-2026-35057 no XenForo, afetando versões anteriores a 2.3.10 e 2.2.19, introduz uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado. Essa falha é explorada através de menções maliciosas em texto estruturado, impactando principalmente o conteúdo de postagens de perfil legadas. Um atacante pode injetar scripts maliciosos que são armazenados no sistema e executados quando outros usuários visualizam o conteúdo afetado. Isso pode levar ao roubo de cookies, redirecionamento para sites maliciosos ou modificação do conteúdo da página, comprometendo a segurança e a integridade do fórum. A gravidade do impacto depende dos privilégios do usuário afetado e da sensibilidade das informações expostas no fórum.
A vulnerabilidade é acionada quando um usuário malicioso insere uma menção especialmente elaborada em um campo de texto estruturado. Este campo, comumente usado em postagens de perfil legadas, não valida corretamente a entrada, permitindo a injeção de código JavaScript. Quando outros usuários visualizam a postagem contendo esta menção, o código JavaScript é executado no navegador deles, permitindo que o atacante execute ações maliciosas. O sucesso da exploração depende da capacidade do atacante de criar uma menção que ignore as medidas de segurança existentes e da confiança dos usuários no conteúdo do fórum.
Organizations and individuals running XenForo forums, particularly those using older versions (2.3.0 - 2.3.10) or those with legacy profile post content. Shared hosting environments where multiple forums share the same server instance are also at increased risk, as a compromise of one forum could potentially impact others.
• php / web:
curl -I https://example.com/forum/mention.php?id=123 | grep -i 'X-XSS-Protection'• php / web: Check XenForo version by examining the XF.version variable in the HTML source code.
• php / web: Review XenForo forum logs for suspicious activity related to profile post creation and modification, specifically looking for unusual characters or patterns in mention content.
• php / web: Use a WAF to monitor for XSS attempts targeting profile post mentions.
disclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A solução para mitigar CVE-2026-35057 é atualizar o XenForo para a versão 2.3.10 ou superior, ou para a versão 2.2.19 ou superior. Esta atualização inclui patches que corrigem a vulnerabilidade XSS. Recomenda-se realizar a atualização o mais rápido possível para evitar possíveis ataques. Além disso, são aconselháveis auditorias de segurança periódicas do fórum para identificar e corrigir quaisquer vulnerabilidades potenciais. Monitorar os logs do servidor em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.
Actualice XenForo a la versión 2.3.10 o 2.2.19, o posterior, para corregir la vulnerabilidad XSS. Esto evitará que los atacantes inyecten scripts maliciosos a través de menciones en el texto estructurado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas da web visualizadas por outros usuários.
Refere-se a postagens de perfil criadas usando versões mais antigas do XenForo que podem não ter as mesmas proteções de segurança das versões mais recentes.
Se você estiver usando uma versão do XenForo anterior a 2.3.10 ou 2.2.19, provavelmente está afetado. Verifique sua versão do XenForo e atualize o mais rápido possível.
Altere imediatamente todas as senhas de administrador, revise os logs do servidor em busca de atividades suspeitas e considere realizar uma auditoria de segurança completa.
Se não puder atualizar imediatamente, considere desabilitar temporariamente as menções em postagens de perfil legadas, embora isso possa afetar a funcionalidade do fórum.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.