CVE-2025-71280 是 XenForo 2.3.0 到 2.3.7 版本中存在的一个信息泄露漏洞。该漏洞源于在共享系统中,本地帐户页面缓存可能导致敏感用户信息泄露给其他本地用户。受影响的版本包括 2.3.0 到 2.3.7。此漏洞已在 XenForo 2.3.7 版本中修复。
XenForo 2.3.7 之前的版本中的 CVE-2025-71280 漏洞,在共享环境中存在信息泄露风险。具体来说,本地帐户页面缓存机制可能将敏感用户数据暴露给共享同一浏览器或计算机的其他本地用户。这在共享计算机实验室、公共图书馆或多个用户使用同一设备访问 XenForo 的情况下尤其令人担忧。可能泄露的信息包括个人详细信息、配置首选项或用户帐户页面上可见的任何其他数据。此问题的严重性在于,本地攻击者无需凭据或提升的权限即可轻松获取这些信息。
在多个用户共享同一计算机或浏览器的环境中,可以轻松利用此漏洞。本地攻击者无需访问其他用户的凭据即可利用此漏洞。简单来说,用户登录 XenForo 帐户后,使用同一浏览器或计算机的另一用户可以访问缓存的帐户页面并查看敏感信息。在共享环境中,如果用户不了解与共享设备相关的安全风险,则利用的可能性很高。利用的复杂性较低,因为它不需要高级技术技能或专用工具。
Shared hosting environments are particularly at risk, as multiple users often share the same server resources. Organizations with public computer labs or environments where users routinely share machines are also vulnerable. Users with older XenForo installations (2.3.0 - 2.3.7) who have not yet applied security updates are directly exposed.
• php / server:
find /var/www/xenforo/ -name 'account_page.php' -print0 | xargs -0 grep -i 'cache_account_data'• php / server:
ps aux | grep -i 'xenforo' | grep -i 'account_page'• generic web: Check XenForo version header in HTTP response. A version below 2.3.7 indicates potential vulnerability.
disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
CVSS 向量
减轻 CVE-2025-71280 的主要解决方案是将 XenForo 更新到 2.3.7 或更高版本。此更新解决了允许信息泄露的缓存问题。此外,建议在共享环境中实施额外的安全措施以保护用户数据。这包括每个用户使用浏览器隐身模式或私密模式,配置浏览器安全策略以在注销时清除 Cookie 和浏览历史记录,并教育用户有关与设备共享相关的安全风险。对于更敏感的环境,请考虑实施虚拟化或机器隔离解决方案,以确保每个用户拥有自己的专用环境。
Actualice XenForo a la versión 2.3.7 o posterior. Esta versión corrige la vulnerabilidad de caché de páginas de cuentas locales que podría exponer información sensible en sistemas compartidos.
漏洞分析和关键警报直接发送到您的邮箱。
缓存是一种临时存储数据以便将来更快加载的方法。在本例中,XenForo 缓存了帐户页面,因此共享同一浏览器的其他用户可以看到这些信息。
尽快将 XenForo 更新到 2.3.7 或更高版本。这是保护论坛的最重要一步。
是的,隐身/私密模式有所帮助,因为它不会存储 Cookie 或浏览历史记录。但是,这并不是一个完整的解决方案,因为其他因素可能会影响缓存。
教育您的用户了解共享设备的风险,并鼓励使用强大且唯一的密码。
用户帐户页面上可见的任何信息,例如他们的姓名、电子邮件地址、签名以及任何其他自定义设置。