После того, как разработчики XenForo разобрались с судами засранцев из Jelsoftа, они естественно начали разрабатывать новые версии движка, и как мы можем видеть, новые релизы выходят с завидной периодичностью.
Например, уже стоит на пороге бетка
XenForo 1.4. Если честно, то каких-то глобальных улучшений я не вижу...
Карта сайта, опросы, защита от спама (как будто недостаточно того, что есть), какие то интергации с социалками. Ерунда в общем
Но, новые релизы, и особенно скоротечные релизы просто гарантируют дыры в безопасности.
Для версий XenForo 1.3.5 и 1.2.6 вышли патчи безопасности.
Вопрос безопасности относится к обработке XML. Возможность читать файловую систему. Правда под админом, но тем не менее.
Те, кто использует версию 1.3, как можно скорее должны обновиться до 3.5.
Я не сторонник обновлений движка со старой версии линеек на новую сразу после выхода оной. Причем не только в случае с XenForo, но и с остальными движками. Все любители моментального обновления как раз и подвержены угрозам быть взломанными через потенциальные дыры. Но в случае с XenForo 1.3.5 и 1.2.6 не забудьте залатать дырочки новыми патчами.