E' stata pubblicata una patch di sicurezza che chiude una seria vulnerabilità nei moduli Private Message e Protector in Xoops 2.3.3.

Non essendo ancora confermata la presenza del suddetto bug nel modulo PM, si consiglia di applicare la patch (scaricabile qui) al solo modulo Protector, in quanto in alcuni casi ha dato problemi di incompatibilità.

Si consiglia di patchare il modulo al più presto ai possessori di Xoops 2.3.3.

News originale

A seguito dell'emergere di alcune vulnerabilità legate all'inclusione di file riportate dal Digital Security Research Group è stato necessario realizzare un aggiornamento del modulo Protector, come soluzione provvisoria. GiJoe rilascerà una versione aggiornata quanto prima.

Se stai utilizzando WF-Sections, nelle versioni v1+ e v2+, allora suggerisco di leggere quanto segue.

E' stato trovato (e corretto) un piccolo bug nel sanitizing delle form nella release 2.0.18 del core Xoops.

In attesa che venga pubblicata una minor release, è possibile correggere subito il problema scaricando il file /class/xoopsform/themeform.php direttamente dalla branch 2.0.18.1 e sovrascrivendo l'omologo della vostra installazione.

Una vulnerabilità di tipo XSS è stata riportata da Omer Singer del The Digi Trust Group, LLC.

Tutti i siti che usano XOOPS 2.2* devono urgentemente applicare una patch di sicurezza.