XenForo before 2.3.9 and before 2.2.18 is vulnerable to cross-site scripting (XSS) related to lightbox usage in posts. An attacker can inject malicious scripts that execute when users interact with post content displayed in the lightbox.
XenForo versions before 2.3.9 and 2.2.18 contain a stored XSS vulnerability in lightbox functionality that allows attackers to inject malicious scripts into posts. When users interact with affected post content, the injected scripts execute in their browsers, potentially compromising user sessions and data.
يؤثر هذا الضعف على منتديات XenForo التي تستخدم وظيفة lightbox لعرض المحتوى المرئي. يمكن للمهاجمين حقن رموز JavaScript ضارة في المنشورات التي تُنفذ عند تفاعل المستخدمين مع المحتوى. قد يؤدي هذا إلى سرقة ملفات تعريف الارتباط والجلسات والبيانات الحساسة.
XenForo versions before 2.3.9 and 2.2.18 contain a stored XSS vulnerability in lightbox functionality that allows attackers to inject malicious scripts into posts. When users interact with affected post content, the injected scripts execute in their browsers, potentially compromising user sessions and data.
Update XenForo to version 2.3.9 or later for 2.3.x branch, or version 2.2.18 or later for 2.2.x branch. Implement Content Security Policy (CSP) headers to mitigate XSS attacks. Review and sanitize all user-generated content in posts. Disable lightbox functionality temporarily if immediate patching is not possible.
قم بتحديث XenForo إلى الإصدار 2.3.9 أو أحدث للفرع 2.3.x، أو الإصدار 2.2.18 أو أحدث للفرع 2.2.x. تطبيق رؤوس سياسة أمان المحتوى (CSP) للتخفيف من هجمات XSS. مراجعة وتنظيف جميع محتويات المستخدمين في المنشورات. تعطيل وظيفة lightbox مؤقتاً إذا لم يكن التصحيح الفوري ممكناً.