被识别出的问题如下:
- 防止与 BB 代码渲染相关的可能存储 XSS(跨站脚本)漏洞利用(感谢 Antisocial)
- 防止帖子中可能的 XSS 利用与 Lightbox 使用相关的漏洞(感谢 UwU)
- 防止通过认证但恶意的管理员用户可能的远程代码执行(RCE)漏洞利用(感谢 UwU)
如果您是 XenForo Cloud 用户,这些问题的修复已自动上线,无需进一步处理。
我们建议进行全面升级以解决此问题,但补丁可以手动应用。详情见下文。
上传补丁文件
- 下载 239-patch.zip
- 提取.zip文件
- 把上传目录的内容上传到你XenForo安装的根目录
- 重建主数据时,可以登录你的安装URL,或者在命令行运行xf:rebuild-master-data。
如果您是 XenForo Cloud 用户,您的安装已经被打了补丁,无需进一步作。你将一直使用2.3.8版本,直到2.3.10版本发布。
以下公开模板已发生变更:
- attachment_macros
- bb_code_tag_attach
- lightbox_macros
必要时,应使用“过时模板”页面中的合并系统来整合这些变更。
以下是最低要求:
- PHP 7.2或更高(推荐PHP 8.3)
- MySQL 5.7及更新版本(也兼容MariaDB/Percona等)
- 所有官方插件都需要XenForo 2.3。
- 增强搜索至少需要 Elasticsearch 7.2。
