dave
Członek ekipy
Przed chwilą, na oficjalnym forum XenForo, pojawiła się informacja o wydaniu nowej wersji XF oznaczonej odpowiednio numerami 2.2.11. W tej wersji, twórcy odnieśli się wyłącznie do jednej, choć bardzo wrażliwej, luki bezpieczeństwa.
Problem dotyczy wstrzykiwania atrybutów HTML, które mogą zostać wywołane podczas renderowania zawartości edytora treści, np. gdy post jest edytowany lub cytowany.
Zaleca się więc aktualizację forów, również tych działających pod kontrolą XenForo 2.1.x, stąd też zdecydowano się dodatkowo wypuścić wersję 2.1.13, która tę poprawkę już zawiera.
Temat XenForo 2.2.x
Temat XenForo 2.1.x
Informacje o nowej wersji można otrzymać bezpośrednio z panelu administratora. Jeśli jej tam nie ma, można ręcznie wysłać zapytanie o sprawdzeniu wersji naszego forum odpowiednio logując się do panelu administratora i przechodząc do Narzędzia > Sprawdź aktualizacje.
W wyżej wymienionych wątkach twórcy XenForo załączają poprawiony plik EditorHtml.php, który można zastąpić bezpośrednio w lokalizacji src/XF/BbCode/Renderer/EditorHtml.php . Korzystając z tej metody aktualizacji należy pamiętać, że narzędzie do sprawdzania spójności plików spowoduje wygenerowanie komunikatu błędu, ponieważ plik ten oznaczony zostanie jako "niezgodny" z aktualnie używaną wersją XenForo. Komunikat ten, w tym wypadku, można jak najbardziej zignorować.
Pozdrawiam
Problem dotyczy wstrzykiwania atrybutów HTML, które mogą zostać wywołane podczas renderowania zawartości edytora treści, np. gdy post jest edytowany lub cytowany.
Zaleca się więc aktualizację forów, również tych działających pod kontrolą XenForo 2.1.x, stąd też zdecydowano się dodatkowo wypuścić wersję 2.1.13, która tę poprawkę już zawiera.
Temat XenForo 2.2.x
XenForo 2.2.11 Released (Security Fix)
Today, we are releasing XenForo 2.2.11 to address a potential security vulnerability. We recommend that all customers running XenForo 2.2 upgrade to 2.2.11 or use the attached patch file as soon as possible. The issue relates to HTML attribute injection which can be triggered when rendering...
xenforo.com
Temat XenForo 2.1.x
XenForo 2.1.13 Released (Security Fix)
Today, we are releasing XenForo 2.1.13 to address a potential security vulnerability. We recommend that all customers still running XenForo 2.1 upgrade to 2.1.13 or use the attached patch file as soon as possible. The issue relates to HTML attribute injection which can be triggered when...
xenforo.com
Informacje o nowej wersji można otrzymać bezpośrednio z panelu administratora. Jeśli jej tam nie ma, można ręcznie wysłać zapytanie o sprawdzeniu wersji naszego forum odpowiednio logując się do panelu administratora i przechodząc do Narzędzia > Sprawdź aktualizacje.
W wyżej wymienionych wątkach twórcy XenForo załączają poprawiony plik EditorHtml.php, który można zastąpić bezpośrednio w lokalizacji src/XF/BbCode/Renderer/EditorHtml.php . Korzystając z tej metody aktualizacji należy pamiętać, że narzędzie do sprawdzania spójności plików spowoduje wygenerowanie komunikatu błędu, ponieważ plik ten oznaczony zostanie jako "niezgodny" z aktualnie używaną wersją XenForo. Komunikat ten, w tym wypadku, można jak najbardziej zignorować.
Pozdrawiam