(Code Injection – Xenforo)

• Açıklama: Admin panel'de widget/template kaydetme sırasında user input (HTML body) filtrelenmiyor, PHP code injection'a yol açıyor. Authenticated admin ile arbitrary PHP kodu çalıştırıp RCE (Remote Code Execution) yapılabiliyor. CSRF ile kombine edilirse unauthenticated RCE mümkün.
• Etkilenen Sürümler: XenForo < 2.2.16 (2.1.15 ve öncesi de etkileniyor).
• Risk Seviyesi: CVSS 8.8 (High) – Network erişimli, authenticated, high impact (code exec).
• Exploit Etkisi: Server shell alabilirsin (örneğin reverse shell). PoC: Admin panel > Advertising > New Ad > HTML'e <?php system('whoami'); ?> koy, save et → RCE.
• Linkler + kullanım:

RW' Alıntı:

• Açıklama: Admin panel'de widget/template kaydetme sırasında user input (HTML body) filtrelenmiyor, PHP code injection'a yol açıyor. Authenticated admin ile arbitrary PHP kodu çalıştırıp RCE (Remote Code Execution) yapılabiliyor. CSRF ile kombine edilirse unauthenticated RCE mümkün.
• Etkilenen Sürümler: XenForo < 2.2.16 (2.1.15 ve öncesi de etkileniyor).
• Risk Seviyesi: CVSS 8.8 (High) – Network erişimli, authenticated, high impact (code exec).
• Exploit Etkisi: Server shell alabilirsin (örneğin reverse shell). PoC: Admin panel > Advertising > New Ad > HTML'e <?php system('whoami'); ?> koy, save et → RCE.
• Linkler + kullanım:
  • -=Gizli İçerik=-

Genişletmek için tıkla ...

veraildez' Alıntı:

Kredi ne ya bence saçma bi özellik olmuş

Genişletmek için tıkla ...

REALWHİTEHATHACKER12' Alıntı:

İnsanları teşvik etmek için yapılmış güzel bence.

Genişletmek için tıkla ...