الثغرات ›

CVE-2026-35055

متوسط

XenForo before 2.3.9 and before 2.2.18 is vulnerable to cross-site scripting (XSS) related to lightbox usage in posts. An attacker can inject malicious scripts that execute when users interact with po

CWE-79 — نوع الضعف

                    نُشر: Apr 1, 2026                      ·  آخر تحديث: Apr 3, 2026                      ·  المصدر: NVD                

CVSS v3

6.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

XenForo versions before 2.3.9 and 2.2.18 contain a stored XSS vulnerability in lightbox functionality that allows attackers to inject malicious scripts into posts. When users interact with affected post content, the injected scripts execute in their browsers, potentially compromising user sessions and data.

📄 الوصف (العربية)

يؤثر هذا الضعف على منتديات XenForo التي تستخدم وظيفة lightbox لعرض المحتوى المرئي. يمكن للمهاجمين حقن رموز JavaScript ضارة في المنشورات التي تُنفذ عند تفاعل المستخدمين مع المحتوى. قد يؤدي هذا إلى سرقة ملفات تعريف الارتباط والجلسات والبيانات الحساسة.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 23, 2026 12:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom banking

🎯 تقنيات MITRE ATT&CK

T1190 T1598 T1566

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update XenForo to version 2.3.9 or later for 2.3.x branch, or version 2.2.18 or later for 2.2.x branch. Implement Content Security Policy (CSP) headers to mitigate XSS attacks. Review and sanitize all user-generated content in posts. Disable lightbox functionality temporarily if immediate patching is not possible.

🔧 خطوات المعالجة (العربية)

قم بتحديث XenForo إلى الإصدار 2.3.9 أو أحدث للفرع 2.3.x، أو الإصدار 2.2.18 أو أحدث للفرع 2.2.x. تطبيق رؤوس سياسة أمان المحتوى (CSP) للتخفيف من هجمات XSS. مراجعة وتنظيف جميع محتويات المستخدمين في المنشورات. تعطيل وظيفة lightbox مؤقتاً إذا لم يكن التصحيح الفوري ممكناً.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.RA-1 PR.DS-1

🟡 ISO 27001:2022

A.6.2.1 A.14.2.1

🔗 المراجع والمصادر 2

🔗

https://www.vulncheck.com/advisories/xenforo-cross-site-scripting-via-lightbox-in-posts

disclosure@vulncheck.com

Third Party Advisory

🔗

https://xenforo.com/community/threads/xenforo-2-3-9-inc-xfmg-2-2-18-released-security-f...

disclosure@vulncheck.com

Release Notes

📦 المنتجات المتأثرة 2 منتج

xenforo:xenforo

📊 CVSS Score

6.1

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.1

CWECWE-79

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-01

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-35055

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب