CVE-2025-71282：XenForo 文件系统路径泄露漏洞

XenForo 2.3.7 之前的版本存在一个信息泄露漏洞 (CVE-2025-71282)，攻击者可以通过触发 open_basedir 限制下的异常信息来获取服务器的文件系统路径信息。攻击场景可能包括：攻击者尝试访问不存在的文件或资源，并利用 XenForo 的错误处理机制。例如，攻击者可能构造一个恶意请求，导致 XenForo 抛出包含文件路径的异常信息。泄露的信息可能包括论坛根目录、模板目录、缓存目录以及其他敏感目录的位置。虽然该漏洞不会直接导致代码执行 (RCE) 或数据篡改，但攻击者可以利用这些信息来规划进一步的攻击，例如尝试暴力破解文件、寻找其他漏洞或进行社会工程攻击。服务器的“爆炸半径”取决于泄露的文件系统路径的敏感程度。如果泄露了包含敏感配置文件的路径，攻击者可能能够利用这些信息进一步攻击服务器。如果泄露了用户上传文件的路径，攻击者可能能够找到并下载恶意文件。

Organizations running XenForo forums, particularly those with custom plugins or extensions, are at risk. Shared hosting environments where multiple XenForo instances share the same server are also particularly vulnerable, as a compromise of one instance could potentially reveal information about other instances.

• php / web:

curl -I https://example.com/index.php?error_trigger=1 2>&1 | grep -i 'document_root'

• php / web: Examine XenForo error logs for patterns revealing filesystem paths, such as /var/www/html/ or /opt/xenforo/. • generic web: Review access logs for requests that trigger exceptions and analyze the corresponding error messages for directory path disclosures.

1. 2026-04-01Disclosure

   disclosure

1. 已保留2026-04-01
2. 发布日期2026-04-01
3. EPSS 更新日期2026-04-08

为了修复 CVE-2025-71282，请立即将 XenForo 升级到 2.3.7 或更高版本。这是最推荐的修复方法，因为它不仅解决了此漏洞，还可能包含其他安全修复和性能改进。如果由于某些原因无法立即升级，可以考虑以下临时缓解措施：严格限制 XenForo 应用程序的访问权限，确保 open_basedir 配置正确且尽可能严格，限制用户上传文件的目录，并定期审查服务器日志以检测可疑活动。升级时，建议先在测试环境中进行测试，以确保升级过程顺利进行，并且不会影响现有功能。升级完成后，务必验证 XenForo 版本是否已成功升级，可以通过访问 XenForo 管理面板或查看文件系统中的版本文件来验证。此外，建议定期更新 XenForo，以确保系统始终处于最新状态，并获得最新的安全补丁。