原文:
https://discuss.flarum.org/d/26016
发布:
clarkwinkelmann
1月13日,Laravel 发布(并重新发布)了一系列安全更新。
此安全事件会影响2021年1月13日之前创建的所有 Flarum 安装。我们建议您尽快更新依赖包。
在 Flarum 安装根目录,运行以下命令:
composer update illuminate/database --no-dev -a
composer 将显示类似如下的输出提示:
Upgrading illuminate/database (v6.20.10 => v6.20.14)
如果箭头右边的版本是 6.20.14 或更高,则是安全的。
如果 composer 说没有任何要更新的内容,则可以运行 composer show illuminate/database 查看当前安装的版本,请确认该版本高于 6.20.14。
我们已对此进行了测试,以评估改事件对 Flarum 的影响。我们尚未发现在 Flarum 及其捆绑扩展中可以利用该漏洞的重大情况。唯一发现的影响是能投通过爆破发现成对的受限主题帖 ID 及其作者 ID。我们尚未发现有任何泄露内容或执行未经授权的操作的方法。
但是,某些社区扩展很有可能收到此漏洞的影响。上面的更新命令将同时保护 Flarum 和所有已安装的社区扩展。
由于依赖项可以独立于 Flarum 进行更新,因此不需要对 Flarum 或扩展程序的代码进行任何更改,因此我们尚未发布 Flarum 版本更新。
扩展开发人员可以在此了解此问题的更多信息。如果您的代码收到影响,我们建议您添加额外的验证和/或输入强制转换,已再次验证您的代码是否具有此类漏洞。
附 Laravel 安全公告链接:https://github.com/laravel/framework/security/advisories/GHSA-3p32-j457-pg5x
PS:您可能也看到了另一起近期披露的 Laravel 高危漏洞,我们最近也进行了讨论。由于 Flarum 没有使用漏洞涉及的 Laravel 组件,因此不受影响。
