XenForo 2.3.9 Release Edition 2.3.9

[Tristan]

XenBaza добавил(а) новый ресурс:

XenForo 2.3.8 Release Edition - Мы выпускаем XenForo 2.3.9 для устранения некоторых потенциальных уязвимостей безопасности.

XenForo 2.3.9 теперь доступен для скачивания. Мы выпускаем XenForo 2.3.9 для устранения некоторых потенциальных уязвимостей безопасности, о которых нам недавно сообщили. Эта версия включает только исправления безопасности, а все исправления ошибок, которые, как мы ранее заявляли, будут включены в версию 2.3.9, теперь отложены до версии 2.3.10.

Выявленные проблемы следующие:

• Предотвращение возможного использования уязвимости XSS (межсайтового скриптинга), связанной с рендерингом...

Узнать больше об этом ресурсе...

 

[Tristan]

Security Fix

The issues identified are as follows:

• Prevention of a possible stored XSS (cross-site scripting) exploit related to BB code rendering (thank you to Antisocial)
• Prevention of a possible XSS exploit related to lightbox usage in posts (thank you UwU)
• Prevention of a possible RCE (remote code execution) exploit via authenticated, but malicious, admin users (thank you UwU)

Для применения, просто загружаем файлы с перезаписью из 239-patch\upload в корневой каталог форума, предварительно распаковав архив 239-patch.zip скачанный из вложения.
Потом перестройте основные данные, войдя в систему по URL-адресу установки (https://site.com/install/) или запустив xf:rebuild-master-data в командной строке.

Примечание: если вы решите загрузить патч вместо полного обновления, в "Проверке целостности файлов" эти файлы будут указаны как имеющие "Неожиданное содержимое". Поскольку эти файлы больше не содержат то же содержимое, что и ваша версия XF, это ожидаемое явление, которое можно смело игнорировать.