Vulnerability Details CVE-2026-35056
XenForo before 2.3.9 and before 2.2.18 allows remote code execution (RCE) by authenticated, but malicious, admin users. An attacker with admin panel access can execute arbitrary code on the server.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.007
EPSS Ranking 47.5%
CVSS Severity
CVSS v3 Score 7.2
Products affected by CVE-2026-35056
-
cpe:2.3:a:xenforo:xenforo:-
-
cpe:2.3:a:xenforo:xenforo:2.1.11
-
cpe:2.3:a:xenforo:xenforo:2.1.12
-
cpe:2.3:a:xenforo:xenforo:2.1.14
-
cpe:2.3:a:xenforo:xenforo:2.1.15
-
cpe:2.3:a:xenforo:xenforo:2.1.16
-
cpe:2.3:a:xenforo:xenforo:2.2.0
-
cpe:2.3:a:xenforo:xenforo:2.2.1
-
cpe:2.3:a:xenforo:xenforo:2.2.10
-
cpe:2.3:a:xenforo:xenforo:2.2.11
-
cpe:2.3:a:xenforo:xenforo:2.2.12
-
cpe:2.3:a:xenforo:xenforo:2.2.13
-
cpe:2.3:a:xenforo:xenforo:2.2.14
-
cpe:2.3:a:xenforo:xenforo:2.2.15
-
cpe:2.3:a:xenforo:xenforo:2.2.16
-
cpe:2.3:a:xenforo:xenforo:2.2.17
-
cpe:2.3:a:xenforo:xenforo:2.2.2
-
cpe:2.3:a:xenforo:xenforo:2.2.3
-
cpe:2.3:a:xenforo:xenforo:2.2.4
-
cpe:2.3:a:xenforo:xenforo:2.2.5
-
cpe:2.3:a:xenforo:xenforo:2.2.6
-
cpe:2.3:a:xenforo:xenforo:2.2.7
-
cpe:2.3:a:xenforo:xenforo:2.2.8
-
cpe:2.3:a:xenforo:xenforo:2.2.9
-
cpe:2.3:a:xenforo:xenforo:2.3.0
-
cpe:2.3:a:xenforo:xenforo:2.3.2
-
cpe:2.3:a:xenforo:xenforo:2.3.3
-
cpe:2.3:a:xenforo:xenforo:2.3.4
-
cpe:2.3:a:xenforo:xenforo:2.3.5
-
cpe:2.3:a:xenforo:xenforo:2.3.6
-
cpe:2.3:a:xenforo:xenforo:2.3.7
-
cpe:2.3:a:xenforo:xenforo:2.3.8