⚠️ Aggiornamento di sicurezza
La versione 1.0.0 (e il pacchetto ianm/synopsis precedente) contiene una vulnerabilità di iniezione HTML nella modalità contenuto semplice. È consigliabile aggiornare immediatamente.
Anche un secondo problema con il troncamento HTML del contenuto avanzato potrebbe causare problemi di sicurezza, sebbene non sia stato possibile creare un exploit per risolverlo.
Se non è possibile aggiornare immediatamente, è consigliabile disattivare l'estensione.
Questi problemi sono stati scoperti tramite revisione interna del codice.
Versione 1.0.1
Correzione dell'iniezione HTML nella modalità contenuto semplice
Implementazione di un corretto troncamento HTML nella modalità contenuto avanzato
Se si utilizza la modalità contenuto avanzato, la lunghezza dell'estratto ora conta il numero di caratteri stampati e ignora la lunghezza dei tag e degli attributi HTML invisibili. Ciò significa che l'estratto sarà probabilmente più lungo di prima e rifletterà effettivamente il valore dell'impostazione.
Per gli sviluppatori di estensioni, è stato necessario modificare la firma del componente JavaScript Excerpt::getContent(). Ora deve restituire un testo normale o un Vnode e non viene più analizzato come HTML. Se si restituiva una stringa HTML, il codice HTML verrà ora visualizzato come testo e non più iniettato come HTML.
https://github.com/FriendsOfFlarum/synopsis/releases/tag/1.0.1
Potrebbero essere presenti altri aggiornamenti futuri non indicati in questa pagina, seguire i link sopra per tenersi aggiornati.
Scopri di più su come monitorare gli aggiornamenti di Flarum e delle estensioni.
