Lamentablemente, también han descubierto un problema de seguridad en la versión anterior que afectan a los foros que han permitido el uso del BBCode Flash - que está desactivado por defecto. En los navegadores basados en WebKit, como Safari, Opera o Google Chrome, el BBCode Flash se puede utilizar para ejecutar Javascript causando una vulnerabilidad de cross site scripting.
Para fijar este problema los usuarios que aun usan 3.0.7 deben editar el archivo includes/message_parser.php y sobre la linea 354
BUSCAR:
Código: Seleccionar todo
// Apply the same size checks on flash files as on images
Código: Seleccionar todo
$in = str_replace(' ', '%20', $in);
// Make sure $in is a URL.
if (!preg_match('#^' . get_preg_expression('url') . '$#i', $in) &&
!preg_match('#^' . get_preg_expression('www_url') . '$#i', $in))
{
return '[flash=' . $width . ',' . $height . ']' . $in . '[/flash]';
}
Les mantendremos informados.
Aquí tenéis el ChangeLog de esta nueva versión.
Anuncio oficial por: naderman
Discusión sobre el tema: aquí