漏洞概述 Textpattern 4.9.1 版本发布,包含安全修复、补丁和改进。主要修复了两个安全漏洞: 1. 已认证的存储型 XSS 漏洞 - 由 Jan Jeffrie Galvez Saloman 报告。 - 该漏洞允许在 Textpattern 中执行存储型跨站脚本攻击。 2. 访问控制回归问题 - 由 Federico Fraschino 报告。 - 该问题涉及文章管理中的访问控制回归。 影响范围 已认证的存储型 XSS 漏洞: - 影响 Textpattern 4.9.1 之前的所有版本。 - 强烈建议升级到 4.9.1 版本。 访问控制回归问题: - 影响 Textpattern 4.9.0 版本。 - 强烈建议升级到 4.9.1 版本。 修复方案 已认证的存储型 XSS 漏洞: - 升级到 Textpattern 4.9.1 版本。 - CVE 编号:CVE-2026-29906。 访问控制回归问题: - 升级到 Textpattern 4.9.1 版本。 - CVE 编号:待分配。 升级指南 升级前请备份网站文件和数据库。 参考 文件了解变更内容。 确保使用最新的 PHP 版本以获得最佳性能和安全性。 下载与安装 从 textpattern.com 或 GitHub 下载 Textpattern 4.9.1。 提供 、 和 格式的压缩包。 安装和升级指南请参考 和 文件。 反馈与支持 用户可通过 Textpattern 论坛 提供反馈。 问题报告可通过 GitHub Issues 提交。 其他信息 Textpattern 4.9.1 是 4.9 分支的第一个补丁版本。 改进了文章图片处理和缩略图生成。 解决了 MariaDB 11.8+ 用户遇到的 问题。 计划在未来版本中支持 MariaDB。 总结 Textpattern 4.9.1 版本修复了两个关键安全漏洞,强烈建议所有用户升级到该版本以确保网站安全。