Released 2x Xenforo Upgrade Nulled | Xenforo 2.1 Nulled 2.1.12

Hôm nay, chúng tôi phát hành XenForo 2.1.12 để giải quyết hai lỗ hổng bảo mật tiềm ẩn. Chúng tôi đặc biệt khuyến nghị tất cả khách hàng đang chạy XenForo 2.1 nâng cấp lên 2.1.12 hoặc sử dụng tệp bản vá được đính kèm càng sớm càng tốt.

Vấn đề là các lỗ hổng XSS. Các vấn đề về XSS (Cross Site Scripting) cho phép các tập lệnh và mã HTML độc hại được đưa vào trang, có khả năng cho phép đánh cắp dữ liệu hoặc truy cập không được xác thực.

XenForo gửi lời cảm ơn tới nhà nghiên cứu bảo mật Vincent ibn Winnie đã báo cáo vấn đề.

Chúng tôi khuyên bạn nên thực hiện nâng cấp đầy đủ để giải quyết vấn đề, nhưng có thể áp dụng bản vá theo cách thủ công. Xem bên dưới để biết thêm chi tiết.

Nếu bạn hiện đang chạy 2.1, kiểm tra nâng cấp tự động bây giờ sẽ cho phép bạn nâng cấp lên 2.1.12 trong bảng điều khiển của bạn. Khi bạn đang chạy bản phát hành 2.1 mới nhất, nó sẽ báo rằng có bản nâng cấp lên 2.2. Nếu bạn muốn nâng cấp lên 2.1.12 và bảng điều khiển báo cáo rằng 2.2.0 khả dụng, bạn có thể kiểm tra các bản nâng cấp theo cách thủ công qua Công cụ -> Kiểm tra nâng cấp .

Xin lưu ý rằng XenForo 2.0 không còn được hỗ trợ hoặc nhận các bản cập nhật bảo mật. Chúng tôi đặc biệt khuyên khách hàng đang chạy 2.0 nên nâng cấp lên phiên bản hiện tại.

Hôm nay, chúng tôi phát hành phiên bản XenForo 2.1.11 để giải quyết một lỗ hổng bảo mật tiềm ẩn. Chúng tôi khuyến nghị tất cả khách hàng đang chạy XenForo 2.1 nâng cấp lên 2.1.11 hoặc sử dụng bản vá được đính kèm càng sớm càng tốt. (Đối với khách hàng đang chạy XenForo 2.0, chúng tôi chỉ có thể khuyên bạn nên nâng cấp lên phiên bản mới nhất.)

Vấn đề là giả mạo yêu cầu trang web chéo (CSRF) trên biểu mẫu đăng nhập. Điều này có thể cho phép kẻ tấn công có thể đăng nhập vào tài khoản người dùng để kiểm soát tài khoản. Trong một số trường hợp, điều này có thể gây ra lo ngại về quyền riêng tư nếu người dùng thực hiện các hành động nhất định khi đăng nhập vào tài khoản không chính xác. Lưu ý rằng điều này không cung cấp cho kẻ tấn công bất kỳ quyền truy cập nào vào tài khoản thực của người dùng.

Chúng tôi khuyên bạn nên thực hiện nâng cấp đầy đủ để giải quyết vấn đề này, nhưng có thể áp dụng bản vá theo cách thủ công. Xem bên dưới để biết thêm chi tiết.

Áp dụng bản vá theo cách thủ công

Tải xuống bản vá trong tệp 2111patch.zip được đính kèm với thông báo này. Nó sẽ chứa các tệp sau:

1. src/XF/Admin/Controller/Login.php
2. src/XF/Pub/Controller/Login.php

Giải nén tệp zip vào máy tính của bạn và tải nội dung lên thư mục gốc cài đặt XenForo. Thao tác này sẽ ghi đè các tệp trên máy chủ của bạn bằng phiên bản mới.

Lưu ý: Nếu bạn quyết định vá các tệp thay vì nâng cấp đầy đủ, "Kiểm tra tình trạng tệp" của bạn sẽ báo cáo ba tệp này là có "Nội dung không mong muốn". Vì các tệp này không còn chứa cùng nội dung mà phiên bản XF của bạn đã được gửi đi, điều này được mong đợi và có thể bỏ qua một cách an toàn.

Các bạn có thể tải tệp 211patch.zip tại đây.

Nguồn: Xenforo.com​

XenForo 2.1.10 Patch 2 được phát hành

Ngay sau khi phát hành 2.1.10, chúng tôi nhận thấy sự không tương thích liên quan đến cách một số tiện ích bổ sung thêm CSS tùy chỉnh vào bảng điều khiển. Điều này có thể dẫn đến bảng điều khiển xuất hiện unstyled. Để giải quyết vấn đề này, chúng tôi đã phát hành XenForo 2.1.10 Patch 2.

Bạn có thể thực hiện nâng cấp trực tiếp từ bảng điều khiển của mình bằng cách đi tới Công cụ -> Kiểm tra nâng cấp (<url> /admin.php?tools/upTHER-check) nếu bạn không thấy liên kết do vấn đề hiển thị). Bạn cũng có thể tải xuống bản cập nhật từ khu vực Khách hàng của mình và nâng cấp thủ công.

(Lưu ý rằng Patch 1 đã được phát hành ngắn gọn và đã được thay thế bằng Patch 2 để giải quyết vấn đề này.)

Hôm nay, chúng tôi sẽ phát hành XenForo 2.1.9 để giải quyết lỗ hổng bảo mật tiềm ẩn có thể ảnh hưởng đến bất kỳ khách hàng nào sử dụng trình xử lý thanh toán PayPal của chúng tôi.

Cũng như nâng cấp người dùng, điều này có thể ảnh hưởng đến các tiện ích bổ sung mà bạn đã cài đặt xử lý thanh toán bằng trình xử lý thanh toán PayPal của chúng tôi.

Chúng tôi khuyên tất cả các khách hàng bị ảnh hưởng đang chạy XenForo 2.1 nâng cấp lên 2.1.9 hoặc sử dụng một trong các tệp vá đính kèm càng sớm càng tốt.

Cụ thể, vấn đề liên quan đến một cuộc gọi lại được chế tạo đặc biệt (hoặc IPN) sau đó được xử lý thành công bằng cách sử dụng điểm cuối xác thực hộp cát của PayPal thay vì hệ thống trực tiếp của họ. Nếu thành công, việc mua hàng có thể được hoàn thành mà không cần tài khoản PayPal của bạn có thực sự nhận được bất kỳ khoản tiền nào.

Không có bản sửa lỗi nào khác trong phiên bản này. Sẽ có thêm một bản phát hành bảo trì 2.1 trong vài tuần tới.

Cung cấp sửa lỗi: Nâng cấp
Bạn có thể nâng cấp lên 2.1.9 để khắc phục sự cố này. Bạn nên nâng cấp như bất kỳ bản phát hành nào khác.

Một vấn đề trong 2.1.8 Patch 1 có thể khiến một số sửa đổi mẫu nhất định trong các tiện ích bổ sung không được áp dụng chính xác. Vấn đề này được thảo luận chi tiết hơn trong báo cáo lỗi này . Để giải quyết vấn đề này Xenforo đã phát hành bản XenForo 2.1.8 Patch 2. Điều này có thể làm bạn bất ngờ khi thấy nhiều bản cập nhật mới của Xenforo 2.1.8 nhưng nó rất hữu ích và cần thiết cho mọi người dùng.