原文 https://discuss.flarum.org/d/27558-critical-security-update-to-flarum-core-with-new-incident-write-up-v102 如果你还没有更新到v1.0.2版本，还请立即更新。漏洞的详细信息是公开的，或许你的社区会被恶意攻击利用。此漏洞涉及影响的版本 v1.0.0 - ⚠️ 受影响 v1.0.1 - ⚠️ 受影响 <= v0.1.0-beta.16 - ✅ 不受影响升级说明: # 更新到最新版本 composer update --prefer-dist --no-dev -a -W # 确认你的版本为V1.0.2 composer show flarum/core # 清除缓存 php flarum cache:clear if(window.hljsLoader && !document.currentScript.parentNode.hasAttribute('data-s9e-livepreview-onupdate')) { window.hljsLoader.highlightBlocks(document.currentScript.parentNode); } 影响这个关键漏洞允许任何用户执行跨站点脚本 (XSS) 攻击，导致升级的特权和拒绝服务论坛运行受影响的版本。我们估计 CVE 得分为10分，这是最严重的。补丁所有论坛运行 Flarum 核心 V1.0.0 或 V1.0.1 应立即更新至 V1.0.2。参考文献安全顾问已经发表在GitHub详述这个漏洞: https://github.com/flarum/core/security/advisories/GHSA-5qjq-69w6-fg57 .

Flarum v1.0.2 重要安全更新

原文 https://discuss.flarum.org/d/27558-critical-security-update-to-flarum-core-with-new-incident-write-up-v102

如果你还没有更新到v1.0.2版本，还请立即更新。漏洞的详细信息是公开的，或许你的社区会被恶意攻击利用。

v1.0.0 - ⚠️ 受影响
v1.0.1 - ⚠️ 受影响
<= v0.1.0-beta.16 - ✅ 不受影响

# 更新到最新版本
composer update --prefer-dist --no-dev -a -W

# 确认你的版本为V1.0.2
composer show flarum/core

# 清除缓存
php flarum cache:clear

这个关键漏洞允许任何用户执行跨站点脚本 (XSS) 攻击，导致升级的特权和拒绝服务论坛运行受影响的版本。
我们估计 CVE 得分为10分，这是最严重的。

所有论坛运行 Flarum 核心 V1.0.0 或 V1.0.1 应立即更新至 V1.0.2。