XenForo (Includes Security Fix) - Full Nulled By VirtualMafia

XenForo (Includes Security Fix) - Full Nulled By VirtualMafia 2.1.8 Patch 1

No permission to download
XenForo ahora está disponible para que lo descarguen todos los clientes con licencia. Recomendamos que todos los clientes que ejecutan versiones anteriores de XenForo 2.1 actualicen a esta versión para beneficiarse de una mayor estabilidad.

Lo más importante es que esta versión corrige una vulnerabilidad de seguridad en XenForo. Solo XenForo 2.1.0 y superior se ven afectados.

El problema es una vulnerabilidad XSS. Los problemas de XSS (Cross Site Scripting) permiten que se inyecten scripts y HTML malicioso en la página, lo que podría permitir el robo de datos o el acceso no autenticado.

La vulnerabilidad afecta al contenido que se muestra en la "Cola de aprobación" y requiere que se ingrese texto especialmente diseñado en un campo relevante para el tipo de contenido (como el título de un hilo).


También damos una mención de honor a @TickTackk, quien nos informó de un problema de "auto XSS" relacionado con el editor de texto enriquecido de Froala que usamos. Si bien no consideramos que esto sea un problema de seguridad, lo hemos solucionado y agradecemos el tiempo que se tomó para informarlo.

Si bien recomendamos realizar una actualización completa para resolver este problema, también puede corregirlo usted mismo con una simple edición de plantilla.

La plantilla en cuestión es Approved_queue_macros.

Para parchear su instalación existente, siga estos pasos:
  1. Descargue la plantilla parcheada que se encuentra en un archivo llamado 217patch.html (adjunto al final de esta publicación).
  2. Inicie sesión en su panel de control de administrador, expanda la navegación de Apariencia y haga clic en el enlace "Plantillas".
  3. En el campo "Filtro" en la parte superior de la lista, escriba aprobado_queue_macros y abra la plantilla.
  4. Abra el archivo 217patch.html y copie todo el contenido de este y péguelo en la plantilla Approved_queue_macros, sobrescribiendo el contenido existente.
  5. Haga clic en "Guardar y salir".
  6. Repita los pasos anteriores para todos sus estilos instalados.
For instructions on how to resolve the issue by upgrading, and to see what else has changed in XenForo 2.1.7, please read on.

Some of the changes in XF 2.1.7 include:

The following public templates have had changes:
  • alert_post_reaction
  • approval_item_user
  • connected_account_associated_google
  • core_button.less
  • core_tooltip.less
  • forum_view
  • payment_initiate.less
  • reaction_item_post
  • thread_edit
Where necessary, the merge system within the "outdated templates" page should be used to integrate these changes.

Note: add-ons, customizations and styles made for XenForo 1.x are not compatible with XenForo 2.x. If your site relies upon these for essential functionality, ensure that a XenForo 2 version exists before you start to upgrade. We strongly recommend you make a backup before attempting an upgrade.

Current Requirements

Please note that XenForo 2.1.x has higher system requirements than XenForo 1.x.

The following are minimum requirements:
  • PHP 5.6 or newer (PHP 7.3 recommended)
  • MySQL 5.5 and newer (Also compatible with MariaDB/Percona etc.)
  • All of the official add-ons require XenForo 2.1.
  • Enhanced Search requires at least Elasticsearch 2.0.
Installation and Upgrade Instructions for XenForo 2.1

Full details of how to install and upgrade XenForo can be found in the XenForo 2 Manual.



If you are already running XF 2.1 or above we strongly recommend upgrading directly from within your control panel.

Tenga en cuenta que al actualizar desde XenForo 1.x, todos los complementos se desactivarán y no se mantendrán las personalizaciones de estilo. Será necesario instalar nuevas versiones de complementos y rehacer las personalizaciones. Le recomendamos encarecidamente que haga una copia de seguridad antes de intentar una actualización. Una vez actualizado, no podrá degradar sin restaurar desde una copia de seguridad.