- XF 兼容性
- 2.2.x
- 摘要
- Enhance your XenForo security with this quick fix for potential vulnerabilities. All affected customers should upgrade to XenForo 2.1.15 or 2.2.16. For Cloud users, a patch has been automatically applied. Pre-release 2.3 users must follow specific instructions. Manual patching involves editing XF.php and uploading files as per the provided steps for effective security enhancement.
今日我们建议所有运行XenForo的客户,已识别到潜在的安全漏洞。所有受影响的客户应升级至XenForo 2.1.15或XenForo 2.2.16。
如果您是XenForo云服务用户,自动修复已经推出,无需采取进一步措施来解决此问题。
如果您正在运行XenForo 2.3的预发布版本,请遵循公告帖子中的说明。XenForo 2.3.0 Release Candidate 1 release该问题与潜在的跨站请求伪造和代码注入漏洞有关,可能导致远程代码执行(RCE)或跨站点 scripting(XSS)攻击。
XenForo 对独立安全研究员 Egidio Romano (EgiX) 表示感谢,他与 SSD Secure Disclosure 合作。
我们建议进行全面升级来解决这个问题,但也可以手动应用补丁到任何版本。请参见以下进一步详情。
你需要手动编辑一个文件来修复这个问题。并且上传一些更改的文件。
在该文件中查找以下行:
PHP:
$parts = explode(':', $string, 3);
Replace that line with the following:
PHP:
if (!$string) return '';
if (strpos($string, ':') === false)
{
$pattern = '#^\\\?'
. str_replace('%s', '([A-Za-z0-9_\\\]+)', preg_quote(ltrim($formatter, '\\')))
. '$#';
if (!preg_match($pattern, $string, $matches))
{
throw new \InvalidArgumentException(sprintf(
'Class %s does not match formatter pattern %s',
$string,
$formatter
));
}
// already a class
return $string;
}
$parts = explode(':', $string, 3);- []下载2115-patch.zip(针对XenForo 2.1)或2216-patch.zip(针对XenForo 2.2)。[]解压.zip文件[]上传内容上传目录的路径到root你的XenForo安装
步骤 3:上传 XFMG 文件(仅限 XenForo 媒体图库客户)
- []下载xfmg219-patch.zip(针对XenForo媒体图库2.1)或xfmg226-patch.zip(针对XenForo媒体图库2.2)。[]解压缩.zip文件[]上传内容上传目录的路径到root你的XenForo安装
