XenForo 2.3 现已面向所有授权用户开放下载。我们强烈建议所有运行旧版 XenForo 2.3 的用户升级到此版本,以获得更高的稳定性。
除了常规的修复和改进之外,XenForo 2.3.7 还包含一个关键的安全修复,以确保已添加到您帐户的密钥的安全。我们非常感谢Jai Niresh J通过 Eric 和Hypixel Inc.团队报告此问题。他们还报告了一个与共享系统上的本地帐户页面缓存相关的不太严重的问题。
此版本还收紧了模板内可调用方法的类型,从宽松的“前缀”匹配演变为更严格的“首字”匹配,这些方法可以通过回调和变量方法调用进行调用。此修复由Cyanide提供,我们非常感谢他们抽出时间向我们报告此问题。
我们还想借此机会通知所有第三方开发者,不建议在模板内编写数据库查询。虽然在 XenForo 2.3.7 中仍然允许这种行为,但该行为现已被视为弃用,并将在 XenForo 2.3.8 中被阻止。当前触发此行为的代码将在服务器错误日志中插入错误,必须在 XenForo 2.3.8 发布之前修复。在可能的情况下,数据必须查询、处理并传递到模板中,而不是写入模板本身。
What's New in Version 2.3.9
Released
今天,我们发布了 XenForo 2.3.9 版本,以解决近期收到的一些潜在安全漏洞报告。此版本仅包含安全修复,之前承诺包含在 2.3.9 版本中的任何错误修复都将推迟到 2.3.10 版本发布。
所有已授权客户现在均可下载此版本。我们强烈建议所有运行 XenForo 2.3 早期版本的客户升级到此版本,以获得更高的稳定性。
已发现的问题如下:
防止与 BB 代码渲染相关的潜在存储型 XSS(跨站脚本)攻击
防止帖子中使用灯箱可能存在的 XSS 漏洞
防止通过已认证但恶意管理员用户实施的远程代码执行 (RCE) 漏洞利用
注意:如果您选择修补文件而不是进行完整升级,“文件健康检查”会将这些文件报告为“包含意外内容”。由于这些文件不再包含您 XF 版本出厂时的内容,因此这是正常现象,可以忽略。与以往一样,所有拥有有效许可证的客户均可免费下载新版本的 XenForo,他们现在可以从客户专区
获取新版本,或通过管理控制面板(工具 > 检查更新...)进行升级。
。您的安装已完成补丁更新,无需执行任何其他操作。您将继续使用 2.3.8 版本,直到 2.3.10 版本发布。
以下公共模板已发生更改:
附件宏
bb_code_tag_attach
lightbox_macros
必要时,请使用“过时模板”页面中的合并系统来整合这些更改。
与以往一样,所有拥有有效许可证的客户均可免费下载新版本的 XenForo。
以下是最低系统要求:
PHP 7.2 或更高版本(推荐使用 PHP 8.3)
MySQL 5.7 及更高版本(也兼容 MariaDB/Percona 等)
所有官方插件都需要 XenForo 2.3。
增强搜索功能至少需要 Elasticsearch 7.2 版本。
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.