Released 2x XenForo 2.1.10 Patch 2 Released | XenForo 2.1.10 Patch 2 Released **** | Add-ons Released

PVS

Super Moderator
Thành viên BQT
XenForo 2.1.10 Patch 2 Released | XenForo 2.1.10 Patch 2 Released **** | Add-ons Released

XenForo 2.1.10 is now available for all licensed customers to download. We recommend that all customers running previous versions of XenForo 2.1 upgrade to this release to benefit from increased stability.

Most importantly, this release fixes a security vulnerability in XenForo.

The issue is a XSS vulnerability. XSS (Cross Site Scripting) issues allow scripts and malicious HTML to be injected into the page, potentially allowing data theft or unauthenticated access. The vulnerability requires some very specific steps to be taken, involving pasting malicious content into the XenForo rich text editor, which may mean it is difficult to trigger. XenForo extends thanks to @TickTackk for reporting the issue.

While we recommend doing a full upgrade to resolve this issue, you can also patch the issue yourself with the attached file.

To patch your existing installation, please follow these steps:
  1. Download the patch files which are contained in a file called 2110patch.zip
  2. Extract the zip file to your computer, which should contain the following files:
    1. upload/js/xf/editor.js
    2. upload/js/xf/editor.min.js
    3. upload/js/xf/editor-compiled.js
  3. Upload the contents of the upload directory to the root of your XF installation.
  4. This will overwrite the following files:
    1. js/xf/editor.js
    2. js/xf/editor.min.js
    3. js/xf/editor-compiled.js
Note: If you decide to patch the files instead of doing a full upgrade, your "File health check" will report these three files as having "Unexpected contents". Because these files no longer contain the same contents your version of XF was shipped with, this is expected and can be safely ignored.

For instructions on how to resolve the issue by upgrading, and to see what else has changed in XenForo 2.1.10, please read on.

When we released XenForo 2.0.2 we told you that we wanted to start collecting certain information about your XenForo installation and the server on which it is installed. The data that we collect is your PHP version, MySQL version and your XenForo version. This information helps us make important decisions such as which minimum PHP version we should target for future releases and helps us get a better understanding of how quickly new XF versions are adopted.

In addition to the aforementioned data, we would also like to start getting an understanding of how many add-ons our customers have installed plus the specific add-on IDs of any official XenForo add-ons you have installed.

During this upgrade you will be prompted again whether you would like to provide the usage statistics or not.

This information is, and always will be, entirely anonymous and does not include any personal or private information, but it is a huge help.

Some of the other changes in XF 2.1.10 include:
  • Properly support disabling memory limits when calling setMemoryLimit with -1.
  • Prevent a race condition related to double clicking when reacting to content.
  • Prevent a server error when trying to edit a super admin via a non-super admin. (Also, allow the bypass permissions option of the API request to bypass this constraint.)
  • Do not display unsupported media sites in approved site list
  • Properly set average tooltips in stats graphs
  • Allow the message body '0' in report comments
  • Allow searches for '0' in template and phrase titles and contents
  • Don't throw an error when trying to view reactions on a conversation message by a deleted user.
  • When deleting warning actions, correctly redirect to the warnings list.
  • When deleting template modifications, redirect to the correct template modification type list.
  • Set a maximum length for content_type field in the spam trigger log entity.
  • Allow users to reconfirm their existing email addresses if emails have previously bounced to it.
  • Opt not to show a title for HTML widgets if no explicit title is set.
  • Avoid throwing a template error for approval queue items with no user relationship.
  • Ensure the MySQL replication adapter throws the correct exception on failure and supports the charset option.
  • Adjust the display of conversation filter checkboxes.
  • Use the correct modifier when building attachment URLs for the editor.
  • Ensure full thumbnail URLs are used when rendering the ATTACH BB code, notably for rendering in emails.
  • Properly check required PHP, PHP extension, and MySQL versions during add-on installation
  • Don't allow double backslashes for PHP callbacks.
  • Redirect back to the option group list after deleting an option group.
  • Redirect back to the option group when deleting an option.
  • Ensure arrays are always returned from title pair methods
  • Don't strip HTML tags on post content choosers.
  • Correctly check permissions on user report page
  • Correctly handle chargebacks for PayPal Funds Now accounts
  • Log IP when TFA check is triggered
  • Avoid table locking when checking if the error log table is populated
  • Correct our auto-timezone data so that UTC+3 returns Europe/Moscow as expected.
  • Slightly adjust the explain text for the boardDescription option to clarify it applies to the "Forums default page".
  • Ensure we mark all forum descendants read when marking a forum read - not just its children.
  • Opt for more desirable defaults when emailing users
  • Fix incorrect type hint on App::service method.
  • Attempt to convert incoming <code> tags to relevant BB code.
  • Extend the color_picker.js infinite loop protection to allow colors to be resolved more than once up to a limit of 3 times each.
  • Expand support for our share buttons to include the page image and send that along with the Pinterest share button clicks.
  • Make query for finding newest/next posts in a thread more performant.
  • Slightly adjust phrase about unique ad position keys to suggest the key may already be in use.
  • Ensure "No permission" placeholder buttons correctly wrap text.
  • Throw a clearer error if closure compiler returns an unexpected response when minifying JS.
  • Load images when rebuilding recent emoji
  • Use a consistent function when checking if CAPTCHA should be shown.
  • Add title attributes to most of the style property edit fields to make clearer the specific CSS property being adjusted.
  • Allow moderators to expire/delete warnings they issued
  • Ensure alt text is correctly displayed when hovering over thumbnail attachments.
  • Display field name in required custom field error message
  • Ensure integer and float values are correctly casted when using searchers.
  • Properly normalize page action criteria
  • Implement the ability to extend all XF\CustomField\* classes - specifically Set and DefinitionSet.
  • Avoid an error if a user has 25 incomplete subscription purchases with Stripe
  • Make the appropriate usage of a language's currency_format value more clear.
  • Check breadcrumb hrefs against the full request URI (including scheme and host) as well as the partial request URIs to determine when they should be automatically hidden.
  • Prevent table overflow on the user change log with wide browser windows.
  • Allow manually triggered rebuild jobs to be resumed via the command line.
  • Support URLs being used in moderator log action params.
  • When creating a new payment profile, only show providers from active add-ons.
  • Fix LESS compilation failure when form input padding is blank
  • Allow auto focus into tagging/token input elements.
  • Make sure that iOS opens reactions on long press (consistent with previous versions and other mobile devices).
  • Disable the CodeMirror code editor (with a fallback to a standard textarea) on Android devices due to compatibility issues.
  • Make improvements to the moderator list especially when there are large numbers of moderator records.
  • When importing users with invalid email addresses, correctly set their user states.

The following public templates have had changes:
  • _help_page_bb_codes
  • app_body.less
  • bb_code_tag_attach
  • code_editor
  • conversation_list
  • core_datalist.less
  • core_input.less
  • core_menu.less
  • core_overlay.less
  • editor.less
  • editor_base.less
  • editor_dialog_media
  • forum_post_quick_thread
  • forum_post_thread
  • forum_post_thread_chooser
  • forum_view
  • lightbox.less
  • lost_password_confirm
  • PAGE_CONTAINER
  • payment_cancel_recurring_confirm
  • payment_initiate.less
  • quick_reply_macros
  • share_page_macros
  • thread_reply
  • thread_view
  • widget_html
Where necessary, the merge system within the "outdated templates" page should be used to integrate these changes.

Note: add-ons, customizations and styles made for XenForo 1.x are not compatible with XenForo 2.x. If your site relies upon these for essential functionality, ensure that a XenForo 2 version exists before you start to upgrade. We strongly recommend you make a backup before attempting an upgrade.

Current Requirements

Please note that XenForo 2.1.x has higher system requirements than XenForo 1.x.

The following are minimum requirements:
  • PHP 5.6 or newer (PHP 7.4 recommended)
  • MySQL 5.5 and newer (Also compatible with MariaDB/Percona etc.)
  • All of the official add-ons require XenForo 2.1.
  • Enhanced Search requires at least Elasticsearch 2.0.
 

Đính kèm

XenForo 2.1.10 Patch 2 Released | XenForo 2.1.10 Patch 2 Released **** | Add-ons Released

XenForo 2.1.10 is now available for all licensed customers to download. We recommend that all customers running previous versions of XenForo 2.1 upgrade to this release to benefit from increased stability.

Most importantly, this release fixes a security vulnerability in XenForo.

The issue is a XSS vulnerability. XSS (Cross Site Scripting) issues allow scripts and malicious HTML to be injected into the page, potentially allowing data theft or unauthenticated access. The vulnerability requires some very specific steps to be taken, involving pasting malicious content into the XenForo rich text editor, which may mean it is difficult to trigger. XenForo extends thanks to @TickTackk for reporting the issue.

While we recommend doing a full upgrade to resolve this issue, you can also patch the issue yourself with the attached file.

To patch your existing installation, please follow these steps:
  1. Download the patch files which are contained in a file called 2110patch.zip
  2. Extract the zip file to your computer, which should contain the following files:
    1. upload/js/xf/editor.js
    2. upload/js/xf/editor.min.js
    3. upload/js/xf/editor-compiled.js
  3. Upload the contents of the upload directory to the root of your XF installation.
  4. This will overwrite the following files:
    1. js/xf/editor.js
    2. js/xf/editor.min.js
    3. js/xf/editor-compiled.js
Note: If you decide to patch the files instead of doing a full upgrade, your "File health check" will report these three files as having "Unexpected contents". Because these files no longer contain the same contents your version of XF was shipped with, this is expected and can be safely ignored.

For instructions on how to resolve the issue by upgrading, and to see what else has changed in XenForo 2.1.10, please read on.

When we released XenForo 2.0.2 we told you that we wanted to start collecting certain information about your XenForo installation and the server on which it is installed. The data that we collect is your PHP version, MySQL version and your XenForo version. This information helps us make important decisions such as which minimum PHP version we should target for future releases and helps us get a better understanding of how quickly new XF versions are adopted.

In addition to the aforementioned data, we would also like to start getting an understanding of how many add-ons our customers have installed plus the specific add-on IDs of any official XenForo add-ons you have installed.

During this upgrade you will be prompted again whether you would like to provide the usage statistics or not.

Thông tin này, và sẽ luôn hoàn toàn ẩn danh và không bao gồm bất kỳ thông tin cá nhân hoặc riêng tư nào, nhưng nó là một trợ giúp rất lớn.

Một số thay đổi khác trong XF 2.1.10 bao gồm:
  • Hỗ trợ đúng cách vô hiệu hóa giới hạn bộ nhớ khi gọi setMemoryLimit bằng -1.
  • Ngăn chặn một điều kiện cuộc đua liên quan đến nhấp đúp khi phản ứng với nội dung.
  • Ngăn chặn lỗi máy chủ khi cố gắng chỉnh sửa siêu quản trị viên thông qua quản trị viên không siêu. (Ngoài ra, cho phép tùy chọn bỏ qua quyền của yêu cầu API để bỏ qua ràng buộc này.)
  • Không hiển thị các trang web truyền thông không được hỗ trợ trong danh sách trang web được phê duyệt
  • Đặt đúng chú giải công cụ trung bình trong biểu đồ thống kê
  • Cho phép nội dung thư '0' trong nhận xét báo cáo
  • Cho phép tìm kiếm '0' trong tiêu đề và nội dung cụm từ và mẫu
  • Đừng ném lỗi khi cố gắng xem phản ứng trên tin nhắn hội thoại của người dùng đã xóa.
  • Khi xóa các hành động cảnh báo, hãy chuyển hướng chính xác đến danh sách cảnh báo.
  • Khi xóa sửa đổi mẫu, hãy chuyển hướng đến danh sách loại sửa đổi mẫu chính xác.
  • Đặt độ dài tối đa cho trường content_type trong thực thể nhật ký kích hoạt thư rác.
  • Cho phép người dùng xác nhận lại địa chỉ email hiện tại của họ nếu email đã bị trả về trước đó.
  • Chọn không hiển thị tiêu đề cho các tiện ích HTML nếu không có tiêu đề rõ ràng nào được đặt.
  • Tránh ném lỗi mẫu cho các mục hàng đợi phê duyệt không có mối quan hệ người dùng.
  • Đảm bảo bộ điều hợp sao chép MySQL ném ngoại lệ chính xác khi thất bại và hỗ trợ tùy chọn bộ ký tự.
  • Điều chỉnh hiển thị các hộp kiểm bộ lọc hội thoại.
  • Sử dụng công cụ sửa đổi chính xác khi xây dựng URL đính kèm cho trình chỉnh sửa.
  • Đảm bảo URL hình thu nhỏ đầy đủ được sử dụng khi hiển thị mã BB ATTACH, đáng chú ý là hiển thị trong email.
  • Kiểm tra đúng các phiên bản PHP, tiện ích mở rộng PHP và phiên bản MySQL cần thiết trong quá trình cài đặt bổ trợ
  • Không cho phép dấu gạch chéo kép cho các cuộc gọi lại PHP.
  • Chuyển hướng trở lại danh sách nhóm tùy chọn sau khi xóa một nhóm tùy chọn.
  • Chuyển hướng trở lại nhóm tùy chọn khi xóa một tùy chọn.
  • Đảm bảo mảng luôn được trả về từ các phương thức cặp tiêu đề
  • Không tước thẻ HTML trên các trình chọn nội dung bài.
  • Kiểm tra chính xác quyền trên trang báo cáo người dùng
  • Xử lý chính xác các khoản bồi hoàn cho tài khoản PayPal Funds Now
  • Đăng nhập IP khi kiểm tra TFA được kích hoạt
  • Tránh khóa bảng khi kiểm tra nếu bảng nhật ký lỗi được điền
  • Sửa dữ liệu múi giờ tự động của chúng tôi để UTC + 3 trả về Châu Âu / Moscow như mong đợi.
  • Điều chỉnh một chút văn bản giải thích cho tùy chọn mô tả boardDes để làm rõ nó áp dụng cho "trang mặc định của diễn đàn".
  • Đảm bảo chúng tôi đánh dấu tất cả con cháu diễn đàn đọc khi đánh dấu một diễn đàn đọc - không chỉ con của nó.
  • Lựa chọn mặc định mong muốn hơn khi gửi email cho người dùng
  • Khắc phục gợi ý loại không chính xác trên App :: phương thức dịch vụ.
  • Cố gắng chuyển đổi các thẻ <code> đến thành mã BB có liên quan.
  • Mở rộng bảo vệ vòng lặp vô hạn color_picker.js để cho phép các màu được phân giải nhiều hơn một lần cho đến giới hạn 3 lần mỗi lần.
  • Mở rộng hỗ trợ cho các nút chia sẻ của chúng tôi để bao gồm hình ảnh trang và gửi nó cùng với các lần nhấp vào nút chia sẻ Pinterest.
  • Tạo truy vấn để tìm các bài đăng mới nhất / tiếp theo trong một chủ đề hiệu quả hơn.
  • Điều chỉnh nhẹ cụm từ về các khóa vị trí quảng cáo duy nhất để đề xuất khóa có thể đã được sử dụng.
  • Đảm bảo các nút giữ chỗ "Không được phép" bao bọc chính xác văn bản.
  • Ném một lỗi rõ ràng hơn nếu trình biên dịch đóng trả về một phản hồi không mong muốn khi thu nhỏ JS.
  • Tải hình ảnh khi xây dựng lại biểu tượng cảm xúc gần đây
  • Sử dụng chức năng nhất quán khi kiểm tra xem CAPTCHA có được hiển thị hay không.
  • Thêm thuộc tính tiêu đề vào hầu hết các trường chỉnh sửa thuộc tính kiểu để làm rõ hơn thuộc tính CSS cụ thể đang được điều chỉnh.
  • Cho phép người điều hành hết hạn / xóa cảnh báo họ đã ban hành
  • Đảm bảo văn bản thay thế được hiển thị chính xác khi di chuột qua tệp đính kèm hình thu nhỏ.
  • Hiển thị tên trường trong thông báo lỗi trường tùy chỉnh bắt buộc
  • Đảm bảo số nguyên và giá trị float được đúc chính xác khi sử dụng trình tìm kiếm.
  • Bình thường hóa đúng tiêu chí hành động trang
  • Triển khai khả năng mở rộng tất cả các lớp XF \ CustomField \ * - cụ thể là Đặt và Định nghĩa.
  • Tránh lỗi nếu người dùng có 25 lần mua đăng ký chưa hoàn tất với Stripe
  • Làm cho việc sử dụng giá trị tiền tệ_format của ngôn ngữ rõ ràng hơn.
  • Kiểm tra Breadcrumb href với URI yêu cầu đầy đủ (bao gồm cả lược đồ và máy chủ) cũng như các URI yêu cầu một phần để xác định khi nào chúng sẽ được ẩn tự động.
  • Ngăn chặn tràn bảng trên nhật ký thay đổi người dùng với các cửa sổ trình duyệt rộng.
  • Cho phép các công việc xây dựng lại được kích hoạt thủ công được nối lại thông qua dòng lệnh.
  • URL hỗ trợ đang được sử dụng trong thông số hành động nhật ký của người điều hành.
  • Khi tạo hồ sơ thanh toán mới, chỉ hiển thị nhà cung cấp từ các tiện ích bổ sung đang hoạt động.
  • Khắc phục lỗi biên dịch LESS khi phần đệm đầu vào mẫu trống
  • Cho phép tự động tập trung vào các yếu tố đầu vào gắn thẻ / mã thông báo.
  • Đảm bảo rằng iOS mở phản ứng trên báo chí dài (phù hợp với các phiên bản trước và các thiết bị di động khác).
  • Vô hiệu hóa trình chỉnh sửa mã CodeMirror (với dự phòng cho văn bản tiêu chuẩn) trên thiết bị Android do vấn đề tương thích.
  • Hãy cải thiện danh sách người điều hành, đặc biệt khi có số lượng lớn hồ sơ của người điều hành.
  • Khi nhập người dùng có địa chỉ email không hợp lệ, hãy đặt chính xác trạng thái người dùng của họ.

Các mẫu công khai sau đây đã có thay đổi:
  • _help_page_bb_codes
  • app_body.less
  • bb_code_tag_attach
  • code_editor
  • đàm thoại
  • core_dirthist.less
  • core_input.less
  • core_menu.less
  • core_overlay.less
  • biên tập viên
  • biên tập viên_base.less
  • Editor_dialog_media
  • forum_post_quick_thread
  • forum_post_thread
  • forum_post_thread_chooser
  • diễn đàn_view
  • hộp đèn
  • mất_password_ thông tin xác nhận
  • PAGE_CONTAINER
  • thanh toán_cattery_recurring_ thông tin xác nhận
  • thanh toán_initiate.less
  • quick_Vply_macros
  • chia sẻ_page_macros
  • luồng thông tin
  • xem chủ đề
  • widget_html
Khi cần thiết, hệ thống hợp nhất trong trang "mẫu lỗi thời" nên được sử dụng để tích hợp các thay đổi này.

Lưu ý: tiện ích bổ sung, tùy chỉnh và kiểu được tạo cho XenForo 1.x không tương thích với XenForo 2.x. Nếu trang web của bạn phụ thuộc vào những chức năng thiết yếu này, hãy đảm bảo rằng phiên bản XenForo 2 tồn tại trước khi bạn bắt đầu nâng cấp. Chúng tôi thực sự khuyên bạn nên tạo bản sao lưu trước khi thử nâng cấp.

Yêu cầu hiện tại

Xin lưu ý rằng XenForo 2.1.x có yêu cầu hệ thống cao hơn XenForo 1.x.

Sau đây là những yêu cầu tối thiểu :
  • PHP 5.6 hoặc mới hơn (khuyến nghị PHP 7.4)
  • MySQL 5.5 trở lên (Cũng tương thích với MariaDB / Percona, v.v.)
  • Tất cả các tiện ích bổ sung chính thức đều yêu cầu XenForo 2.1.
  • Tìm kiếm nâng cao yêu cầu ít nhất là Elaticsearch 2.0.
[/TRÍCH DẪN]

Mình nâng cấp theo bản này. hiện tại Cpanel cứ báo MaxCPU. mà mình đã chuyển sang dùng style mặc định. tắt các plugin đi nhưng không cải thiện. Vậy có ACE nào cũng gặp tình trạng như vậy không.
Mình cũng đã gửi yêu cầu lên hosting nhưng họ nói là server họ bình thường. hãy kiểm tra lại addon hoặc theme. Đã tối ưu cả database rồi nhưng vẫn vậy
 
Ở đây có 2 loại là bản full với bản upgrade, thì bản full ở đây là bản cài đặt mới cho trang web.
 
Ở đây có 2 loại là bản full với bản upgrade, thì bản full ở đây là bản cài đặt mới cho trang web.
Ý mình hỏi **** ở đây nghĩa là không cần mua bản quyền. Và đã crack không phải mua bản quyền từ nhà cung cấp nữa đúng không bạn.
 
Xenforo 2.1.11 Released Upgrade

Hôm nay, chúng tôi phát hành phiên bản XenForo 2.1.11 để giải quyết một lỗ hổng bảo mật tiềm ẩn. Chúng tôi khuyến nghị tất cả khách hàng đang chạy XenForo 2.1 nâng cấp lên 2.1.11 hoặc sử dụng bản vá được đính kèm càng sớm càng tốt. (Đối với khách hàng đang chạy XenForo 2.0, chúng tôi chỉ có thể khuyên bạn nên nâng cấp lên phiên bản mới nhất.)

Vấn đề là giả mạo yêu cầu trang web chéo (CSRF) trên biểu mẫu đăng nhập. Điều này có thể cho phép kẻ tấn công có thể đăng nhập vào tài khoản người dùng để kiểm soát tài khoản. Trong một số trường hợp, điều này có thể gây ra lo ngại về quyền riêng tư nếu người dùng thực hiện các hành động nhất định khi đăng nhập vào tài khoản không chính xác. Lưu ý rằng điều này không cung cấp cho kẻ tấn công bất kỳ quyền truy cập nào vào tài khoản thực của người dùng.

Chúng tôi khuyên bạn nên thực hiện nâng cấp đầy đủ để giải quyết vấn đề này, nhưng có thể áp dụng bản vá theo cách thủ công. Xem bên dưới để biết thêm chi tiết.

Áp dụng bản vá theo cách thủ công

Tải xuống bản vá trong tệp 2111patch.zip được đính kèm với thông báo này. Nó sẽ chứa các tệp sau:
  1. src/XF/Admin/Controller/Login.php
  2. src/XF/Pub/Controller/Login.php
Giải nén tệp zip vào máy tính của bạn và tải nội dung lên thư mục gốc cài đặt XenForo. Thao tác này sẽ ghi đè các tệp trên máy chủ của bạn bằng phiên bản mới.

Lưu ý: Nếu bạn quyết định vá các tệp thay vì nâng cấp đầy đủ, "Kiểm tra tình trạng tệp" của bạn sẽ báo cáo ba tệp này là có "Nội dung không mong muốn". Vì các tệp này không còn chứa cùng nội dung mà phiên bản XF của bạn đã được gửi đi, điều này được mong đợi và có thể bỏ qua một cách an toàn.

Xin phép admin chèn link bản vá mình tải về từ trang Xenforo.com, nhấp vào đây.

Nguồn: Xenforo.com
 
Back
Top