Vulnerability Details CVE-2026-35056
XenForo before 2.3.9 and before 2.2.18 allows remote code execution (RCE) by authenticated, but malicious, admin users. An attacker with admin panel access can execute arbitrary code on the server.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.004
EPSS Ranking 62.3%
CVSS Severity
CVSS v3 Score 7.2
References
Products affected by CVE-2026-35056
-
cpe:2.3:a:xenforo:xenforo:-
-
cpe:2.3:a:xenforo:xenforo:2.1.11
-
cpe:2.3:a:xenforo:xenforo:2.1.12
-
cpe:2.3:a:xenforo:xenforo:2.1.14
-
cpe:2.3:a:xenforo:xenforo:2.1.15
-
cpe:2.3:a:xenforo:xenforo:2.1.16
-
cpe:2.3:a:xenforo:xenforo:2.2.0
-
cpe:2.3:a:xenforo:xenforo:2.2.1
-
cpe:2.3:a:xenforo:xenforo:2.2.10
-
cpe:2.3:a:xenforo:xenforo:2.2.11
-
cpe:2.3:a:xenforo:xenforo:2.2.12
-
cpe:2.3:a:xenforo:xenforo:2.2.13
-
cpe:2.3:a:xenforo:xenforo:2.2.14
-
cpe:2.3:a:xenforo:xenforo:2.2.15
-
cpe:2.3:a:xenforo:xenforo:2.2.16
-
cpe:2.3:a:xenforo:xenforo:2.2.17
-
cpe:2.3:a:xenforo:xenforo:2.2.2
-
cpe:2.3:a:xenforo:xenforo:2.2.3
-
cpe:2.3:a:xenforo:xenforo:2.2.4
-
cpe:2.3:a:xenforo:xenforo:2.2.5
-
cpe:2.3:a:xenforo:xenforo:2.2.6
-
cpe:2.3:a:xenforo:xenforo:2.2.7
-
cpe:2.3:a:xenforo:xenforo:2.2.8
-
cpe:2.3:a:xenforo:xenforo:2.2.9
-
cpe:2.3:a:xenforo:xenforo:2.3.0
-
cpe:2.3:a:xenforo:xenforo:2.3.2
-
cpe:2.3:a:xenforo:xenforo:2.3.3
-
cpe:2.3:a:xenforo:xenforo:2.3.4
-
cpe:2.3:a:xenforo:xenforo:2.3.5
-
cpe:2.3:a:xenforo:xenforo:2.3.6
-
cpe:2.3:a:xenforo:xenforo:2.3.7
-
cpe:2.3:a:xenforo:xenforo:2.3.8