Мы выпускаем XenForo 2.3.9 для устранения некоторых потенциальных уязвимостей безопасности, о которых нам недавно сообщили. Эта версия включает только исправления безопасности, а все исправления ошибок, которые, как мы ранее заявляли, будут включены в версию 2.3.9, теперь отложены до версии 2.3.10.
Выявленные проблемы следующие:
Предотвращение возможного использования уязвимости XSS (межсайтового скриптинга), связанной с рендерингом BB-кода (спасибо Antisocial)
Предотвращение возможного XSS-эксплойта, связанного с использованием лайтбокса в сообщениях (спасибо UwU)
Предотвращение возможного RCE-эксплойта (удаленное выполнение кода) через аутентифицированных, но злонамеренных пользователей-администраторов (спасибо UwU)
Выявленные проблемы следующие:
Предотвращение возможного использования уязвимости XSS (межсайтового скриптинга), связанной с рендерингом BB-кода (спасибо Antisocial)
Предотвращение возможного XSS-эксплойта, связанного с использованием лайтбокса в сообщениях (спасибо UwU)
Предотвращение возможного RCE-эксплойта (удаленное выполнение кода) через аутентифицированных, но злонамеренных пользователей-администраторов (спасибо UwU)
