原文:
https://discuss.flarum.org/d/26042
发布:
clarkwinkelmann
今天,我们发布了捆绑扩展程序 Flarum Sticky 置顶扩展的安全更新。此更新解决了该扩展在 beta 14 和 beta 15 中存在的跨站脚本漏洞(XSS)。
如何更新
如果正在使用 Flarum beta 15:
在 Flarum 安装根目录(含有 composer.json 和 config.php 之处)运行:
composer update flarum/sticky --prefer-dist --no-dev -a
然后,您可以检查 composer 的输出(应该会提示「updating to v0.1.0-beta.15.1」),或在论坛后台检查此扩展的版本号,以确保更新完成。
如果您使用的是 Flarum beta 14,请禁用 Sticky 扩展程序,然后将 Flarum 更新到 beta 15 版本。
如果您使用的是 Flarum beta 13,则不受此漏洞影响。不过鉴于 beta 13 版本不再受维护支持,您应当尽快更新到 Flarum beta 15。
漏洞影响
由于 beta 14 版本的 Sticky 扩展程序中的一项改动,导致置顶主题首贴的纯文本内容以 HTML 插入主题页列表。这个问题是在一次内部审计后发现的。
任何 HTMl 内容都会通过 Mithril 的 m.trust() 帮助类插入。虽然 HTML 内容插入时 <script> 标签不会执行,但仍可以从其他 HTML 属性运行 JavaScript,从而执行跨站点脚本(XSS)攻击。
由于该漏洞只发生在置顶主题的首贴,因此攻击者需要能够置顶自己的主题,或者能够编辑已置顶的主题。
若您的论坛所有置顶帖均由内部人员编辑发布,那么大体上您可以确定该漏洞未被利用。
您的论坛也许有置顶由用户发布的主题帖,您可以查看首贴的编辑日期来推测该漏洞是否可能被利用。由于 Flarum 本身并不存储帖子内容的历史编辑记录,所以您无法确定是否有人在恶意编辑后还原了内容。
安全补丁
Flarum beta 16 的置顶扩展程序 Sticky v0.1.0-beta.16 版本将自带此补丁。同时,该补丁也作为 Sticky 扩展的 v0.1.0-beta.15.1 版本逆向移植到了 Flarum beta 15 上。
解决办法
论坛管理员可以禁用 Sticky 扩展,直到更新该扩展。禁用扩展后,漏洞即无法被利用。
链接