### Flarum 1.8.16 rilasciato 🔒 Un **aggiornamento di sicurezza straordinario** per la serie Flarum 1.x. Questa versione corregge diverse vulnerabilità di sicurezza e include anche alcune correzioni retroportate. Tutti gli operatori del forum che utilizzano la versione 1.x dovrebbero aggiornare tempestivamente. ---- ### 🛡️ Correzioni di sicurezza Questa versione risolve diverse vulnerabilità. I dettagli tecnici completi sono disponibili in ciascun avviso; di seguito sono riportati i riepiloghi principali. Path traversal nel parser LESS tramite le impostazioni del colore del tema Una correzione incompleta per [CVE-2023-27577](https://github.com/flarum/framework/security/advisories/GHSA-vhm8-wwrf-3gcw). La patch originale limitava le funzionalità @import e data-uri() di LESS nell'impostazione custom_less, ma la stessa restrizione non è mai stata applicata ad altre impostazioni registrate come variabili di configurazione LESS, in particolare theme_primary_color e theme_secondary_color. Questi valori vengono interpolati letteralmente nel codice sorgente LESS in fase di compilazione, consentendo a un amministratore autenticato di creare un payload in grado di leggere file locali arbitrari o di attivare richieste HTTP in uscita (SSRF) tramite @import (inline). Poiché l'output compilato viene scritto nel file forum.css pubblico, l'attaccante può recuperare il contenuto letto semplicemente scaricando quel file. Richiede l'accesso di amministratore, ma rappresenta un percorso di escalation dei privilegi da "amministratore del forum" a "lettura file a livello host / SSRF" — privilegi che gli amministratori non dovrebbero avere. Segnalato da William (Liam) Snow IV. [GHSA-xjvc-pw2r-6878](https://github.com/flarum/framework/security/advisories/GHSA-xjvc-pw2r-6878) Assalto dell'account tramite token di reimpostazione della password scaduto Il metodo POST /reset accettava qualsiasi token presente nel database senza verificarne la scadenza, mentre il metodo GET /reset/{token} applicava correttamente la finestra di 24 ore. Un utente malintenzionato con un token obsoleto (ad esempio, proveniente da un'email compromessa o da un backup del database) poteva utilizzarlo indefinitamente per assumere il controllo dell'account. [GHSA-649p-3mfg-mx5r](https://github.com/flarum/framework/security/advisories/GHSA-649p-3mfg-mx5r) Protezione: invalidazione delle sessioni attive al cambio di password I token di accesso attivi (sessione, remember-me, token sviluppatore) non venivano cancellati al cambio di password di un utente. Le sessioni stabilite prima del ripristino della password, o durante un'acquisizione dell'account, rimanevano valide a tempo indeterminato. Ora tutti i token di accesso vengono eliminati quando viene modificata la password. [#4546](https://github.com/flarum/framework/pull/4546) Potenziamento: eliminazione dei token di ripristino della password obsoleti Ogni richiesta di ripristino della password generava un nuovo token senza rimuovere quelli precedenti, lasciando che più token validi si accumulassero a tempo indeterminato. Ora tutti i token esistenti per un utente vengono eliminati prima che ne venga emesso uno nuovo. [#4547](https://github.com/flarum/framework/pull/4547) ---- ### 🚀 Come aggiornare Prima di tutto assicurarsi di avere un backup completo di cartelle, files e database. Comandi SSH: ``` composer update php flarum migrate php flarum cache:clear php flarum assets:publish ``` Questo è un post tradotto dall'originale che si trova [qui](https://discuss.flarum.org/d/39109-flarum-1816-released-security-patches).

Aggiornamento di sicurezza - Flarum 1.8.16 Released

peopleinside

Flarum 1.8.16 rilasciato 🔒

Un aggiornamento di sicurezza straordinario per la serie Flarum 1.x. Questa versione corregge diverse vulnerabilità di sicurezza e include anche alcune correzioni retroportate. Tutti gli operatori del forum che utilizzano la versione 1.x dovrebbero aggiornare tempestivamente.

🛡️ Correzioni di sicurezza

Questa versione risolve diverse vulnerabilità. I dettagli tecnici completi sono disponibili in ciascun avviso; di seguito sono riportati i riepiloghi principali.
Path traversal nel parser LESS tramite le impostazioni del colore del tema

Una correzione incompleta per CVE-2023-27577. La patch originale limitava le funzionalità @import e data-uri() di LESS nell'impostazione custom_less, ma la stessa restrizione non è mai stata applicata ad altre impostazioni registrate come variabili di configurazione LESS, in particolare theme_primary_color e theme_secondary_color. Questi valori vengono interpolati letteralmente nel codice sorgente LESS in fase di compilazione, consentendo a un amministratore autenticato di creare un payload in grado di leggere file locali arbitrari o di attivare richieste HTTP in uscita (SSRF) tramite @import (inline). Poiché l'output compilato viene scritto nel file forum.css pubblico, l'attaccante può recuperare il contenuto letto semplicemente scaricando quel file.

Richiede l'accesso di amministratore, ma rappresenta un percorso di escalation dei privilegi da "amministratore del forum" a "lettura file a livello host / SSRF" — privilegi che gli amministratori non dovrebbero avere.

Segnalato da William (Liam) Snow IV.

GHSA-xjvc-pw2r-6878
Assalto dell'account tramite token di reimpostazione della password scaduto

Il metodo POST /reset accettava qualsiasi token presente nel database senza verificarne la scadenza, mentre il metodo GET /reset/{token} applicava correttamente la finestra di 24 ore. Un utente malintenzionato con un token obsoleto (ad esempio, proveniente da un'email compromessa o da un backup del database) poteva utilizzarlo indefinitamente per assumere il controllo dell'account.

GHSA-649p-3mfg-mx5r
Protezione: invalidazione delle sessioni attive al cambio di password

I token di accesso attivi (sessione, remember-me, token sviluppatore) non venivano cancellati al cambio di password di un utente. Le sessioni stabilite prima del ripristino della password, o durante un'acquisizione dell'account, rimanevano valide a tempo indeterminato. Ora tutti i token di accesso vengono eliminati quando viene modificata la password.

#4546
Potenziamento: eliminazione dei token di ripristino della password obsoleti

Ogni richiesta di ripristino della password generava un nuovo token senza rimuovere quelli precedenti, lasciando che più token validi si accumulassero a tempo indeterminato. Ora tutti i token esistenti per un utente vengono eliminati prima che ne venga emesso uno nuovo.

#4547

🚀 Come aggiornare

Prima di tutto assicurarsi di avere un backup completo di cartelle, files e database.

Comandi SSH:

composer update
php flarum migrate
php flarum cache:clear
php flarum assets:publish

Questo è un post tradotto dall'originale che si trova qui.