CVE-2025-71278 允许 XenForo 中的 OAuth2 客户端应用程序请求未经授权的权限,导致权限提升。使用 OAuth2 客户端的 XenForo 2.3.5 之前的版本都受到影响。攻击者可能获得超出其预期授权级别的访问权限。XenForo 2.3.5 版本已修复此漏洞,建议受影响的用户尽快升级。
XenForo的CVE-2025-71278漏洞影响OAuth2客户端应用程序,允许它们请求未经授权的范围(scopes)。这意味着,设计用于访问有限数据集的应用程序,可能潜在地请求并获取超出其应有的更广泛的信息或功能。对于使用早期版本的OAuth2客户端的任何XenForo客户,风险都很大。成功利用可能导致敏感信息泄露、数据篡改,甚至未经授权的访问管理功能,具体取决于请求的范围和系统配置。CVSS严重性评分8.8表明高风险,需要立即关注。
该漏洞体现在XenForo处理OAuth2应用程序的授权请求的方式上。攻击者可以创建或破坏OAuth2应用程序,并操纵其授权请求以包含未经授权的范围。如果XenForo未能正确验证这些范围,则应用程序可能会访问它不应访问的资源。利用需要访问OAuth2应用程序以及修改其授权请求的能力。利用的可能性取决于XenForo安装中OAuth2使用的普及程度以及应用程序开发人员对该漏洞的认识。
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
CVE-2025-71278的解决方案是将XenForo升级到2.3.5或更高版本。此更新通过正确验证OAuth2客户端应用程序的范围请求来修复漏洞。强烈建议尽快执行升级,尤其是在您的论坛使用OAuth2进行第三方应用程序身份验证或授权的情况下。在升级之前,务必创建论坛数据库和文件的完整备份。有关详细的升级过程说明,请参阅XenForo官方文档。此外,请检查您的OAuth2应用程序的配置,以确保它们仅请求绝对必要的范围。
Actualice XenForo a la versión 2.3.5 o posterior. Esta actualización corrige la vulnerabilidad que permite a las aplicaciones cliente OAuth2 solicitar scopes no autorizados.
漏洞分析和关键警报直接发送到您的邮箱。
OAuth2是一种授权协议,允许第三方应用程序代表用户访问受保护的资源,而无需用户直接与应用程序共享其凭据。
如果受损的OAuth2应用程序利用此漏洞,它可能会访问超出其应有的用户数据,从而可能损害其隐私和安全。
如果您无法立即升级,请考虑限制OAuth2应用程序可以请求的范围,并密切监控论坛上的OAuth2活动。
请参阅XenForo网站上的官方文档,以获取有关如何升级到2.3.5或更高版本的详细说明。
目前没有用于检测此漏洞的特定工具。验证的唯一安全方法是确认您使用的是XenForo的2.3.5或更高版本。
CVSS 向量