Kedden jelentette be a fejlesztőcsapat az 1.6-os verzióra épülő frissített kiadást, az 1.6.1-et, amely egy biztonsági sebezhetőség javítását tartalmazza. Az érintett kód az Orchard.Comments modulban található, amely segítségével XSS-támadást lehet eszközölni Orchard-felhasználók ellen. Mindehhez arra van szükség, hogy egy Orchard-felhasználó egy bizonyos linkre kattintson, ahol egy betöltődő Orchard oldalon a támadó által beszúrt script képes lehet megszerezni a felhasználó bejelentkezési adatait. Mivel a támadás célzott és speciális, ezért nincs ok különösebb aggodalomra, ha nem kattintunk ismeretlen linkekre.

Amennyiben a Comments modul ki van kapcsolva, vagy az aktív téma nem jeleníti meg a Messages zónát, akkor minden további nélkül védve vagyunk a támadás ellen.

A frissítésről angol nyelven a hivatalos oldalon lehet bővebben tájékozódni, ahol megtaláljuk a letölthető patch-eket is a különböző verziókhoz (Orchard 1.0-tól kezdve). A főoldalunkon a Letöltések widget-ben pedig már elérhetőek a frissített (és magyarított) 1.6.1-es package-ek (és a korábbihoz hasonlóan a Source tartalmazza a Dynamic Compilation javítását is).

Nincsenek hozzászólások