漏洞关键信息总结 漏洞概述 XenForo 2.3.5 版本包含一个关键的安全修复,主要针对 OAuth2 功能。该漏洞允许使用 OAuth2 的客户端应用程序请求未授权的权限范围(scopes)。此外,还涉及数据库表结构问题(缺少主键)以及 OAuth2 API 路由格式错误,导致公共 OAuth2 客户端的代码挑战无法验证。 影响范围 受影响组件: XenForo 核心系统(XenForo 2.3 系列)。 受影响用户: 所有运行 XenForo 2.3 旧版本并启用 OAuth2 功能的客户。 受影响数据库表: 和 。 修复方案 升级版本: 强烈建议所有客户将 XenForo 升级至 2.3.5 版本。 升级方式: 通过管理控制面板(Admin Control Panel)进行一键升级。 XenForo Cloud 客户将自动安排升级。 也可从客户区域(Customer Area)获取新版本手动升级。 具体修复内容: 确保 和 表拥有主键(Primary Keys)。 正确验证 OAuth 客户端重定向 URI(Properly validate OAuth client redirect URIs)。 修复 OAuth2 API 应用程序路由的错误格式(Fix incorrect route formatting for the OAuth2 API applications route)。 * 修复公共 OAuth2 客户端代码挑战无法验证的问题(Fix issue where code challenges for public OAuth2 clients could not be verified)。