Vulnerabilities ›

CVE-2026-35056

High

XenForo before 2.3.9 and before 2.2.18 allows remote code execution (RCE) by authenticated, but malicious, admin users. An attacker with admin panel access can execute arbitrary code on the server.

CWE-94 — Weakness Type

                    Published: Apr 1, 2026                      ·  Modified: Apr 8, 2026                      ·  Source: NVD                

CVSS v3

7.2

🔗 NVD Official

📄 Description (English)

XenForo before 2.3.9 and before 2.2.18 allows remote code execution (RCE) by authenticated, but malicious, admin users. An attacker with admin panel access can execute arbitrary code on the server.

🤖 AI Executive Summary

XenForo versions before 2.3.9 and 2.2.18 allow authenticated admin users to execute arbitrary code on the server through an unspecified vulnerability. This poses a critical risk to forum administrators and organizations using vulnerable XenForo installations.

📄 Description (Arabic)

تحتوي إصدارات XenForo السابقة للإصدار 2.3.9 و 2.2.18 على ثغرة تسمح لمستخدمي المسؤول المصرح بهم بتنفيذ أكواد عشوائية على خادم الويب. يمكن للمهاجمين الذين يحصلون على حسابات إدارية استخدام هذه الثغرة للسيطرة الكاملة على منصة المنتدى والبيانات المرتبطة بها.

🤖 ملخص تنفيذي (AI)

إصدارات XenForo السابقة للإصدار 2.3.9 و 2.2.18 تسمح لمستخدمي المسؤول المصرح بهم بتنفيذ أكواد عشوائية على الخادم. يشكل هذا خطراً حرجاً على مسؤولي المنتديات والمنظمات التي تستخدم تثبيتات XenForo الضعيفة.

🤖 AI Intelligence Analysis Analyzed: May 8, 2026 14:19

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1548 T1078

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade XenForo to version 2.3.9 or 2.2.18 or later. Restrict admin panel access to trusted personnel only, implement strong authentication mechanisms, monitor admin activities, and apply principle of least privilege for administrative accounts.

🔧 خطوات المعالجة (العربية)

قم بترقية XenForo فوراً إلى الإصدار 2.3.9 أو 2.2.18 أو أحدث. قيد الوصول إلى لوحة المسؤول للموظفين الموثوقين فقط، وطبق آليات المصادقة القوية، وراقب أنشطة المسؤول، وطبق مبدأ أقل صلاحية للحسابات الإدارية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 2

🔗

https://www.vulncheck.com/advisories/xenforo-remote-code-execution-via-authenticated-admin

disclosure@vulncheck.com

Third Party Advisory

🔗

https://xenforo.com/community/threads/xenforo-2-3-9-inc-xfmg-2-2-18-released-security-f...

disclosure@vulncheck.com

Release Notes

📦 Affected Products / CPE 2 entries

xenforo:xenforo

📊 CVSS Score

7.2

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.2

CWECWE-94

EPSS0.32%

Exploit No

Patch ✗ No

Published 2026-04-01

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-94

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-35056

💬 Comments

Introduce Yourself

Sign In Required