PT-2026-29417 · Xenforo · Xenforo
Cyanide
·
Publicado
2026-04-01
·
Atualizado
2026-04-01
·
CVE-2025-71281
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
XenForo versões anteriores a 2.3.7
Description
XenForo não restringe adequadamente os métodos invocáveis de dentro das templates. Foi utilizada uma correspondência de prefixo laxa em vez de uma correspondência de primeira palavra mais estrita para os métodos acessíveis através de retrollamadas e chamadas de métodos variáveis nas templates, o que pode permitir invocações de métodos não autorizadas.
Recommendations
Atualize para a versão 2.3.7 ou posterior.
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xenforo