原文:
https://discuss.flarum.org/d/25059
作者:
clarkwinkelmann
昨天我们针对原生标签插件紧急发布了一项安全漏洞修复。以下是详情信息。
影响
此漏洞允许对主题帖拥有可读权限的任何注册用户使用 REST API 修改相应主题帖的标签。
用户将能够删除任何现有的标签,并为主题帖添加上拥有主题帖发布权限的标签。通过该漏洞添加的标签数量仍需符合管理员设置的最大最小标签数量限制。
通过将主题帖移动到新的标签,用户能够绕过对某些标签应用的权限限制(此类标签下称受限标签)。根据设置的不同,这可能导致仅对某些组可见的内容公开暴露,或使用户得到与受限内容进行互动的能力。
全部影响取决于权限和受限标签的配置,以及正在使用的社区扩展。所有扩展提供的标签权限都会受到此次漏洞的影响。
没有使用受限标签、没有使用任何通过标签应用访问控制的论坛应该不会受到任何安全影响。但仍然需要更新以阻止用户能够更改任何主题帖的标签。
没有使用标签扩展的论坛不受此次影响。
补丁
该修复将在 Flarum beta 14 的 v0.1.0-beta.14 版本中提供。该修复已经作为标签扩展的 v0.1.0-beta.13.2 版本移植到 Flarum beta 13 中。
漏洞溯源
flarum/core#2355
特别感谢
发现漏洞的 @LianSheng 和快速修复的 @SychO。
如何更新
如果您正在使用 Flarum beta 13:
在 Flarum 安装目录(内含 composer.json
和 config.php
文件)运行:
composer update flarum/tags --prefer-dist --no-dev -a
通过确认 Composer 输出(“updating to v0.1.0-beta.13.2”)以确认完成更新,或查看后台管理面板的插件列表确认版本号。
如果您使用使用的是 beta 12 或更早版本:
您应当尽快升级到 Flarum beta 13。我们很遗憾此次漏洞修复无法支持旧版本 Flarum。请您根据各版本升级指南完成升级操作。在您升级到 beta 13 时,安全更新会自动完成漏洞修复。
Followup
最初的修复版本为昨日发布的 v0.1.0-beta.13.1,其仍旧包含一个错误。因此我们今日发布了新的版本 v0.1.0-beta.13.2。如果您已经安装了 13.1 补丁,请继续升级到 13.2。
为了尽快修复漏洞,我们跳过了质量审查阶段,直接发布了修复版本。我们会尽快完成质量审查,以免再次发生类似的问题。再次抱歉。