2026年6月月度版本发布

有关 2026.6 版本中发布的所有更改的更多信息,请查看:

其他受支持版本的补丁版本也已发布:

8 个赞

上述安全补丁中提到的 CVE 似乎与 Discourse 无关。

以这个为例:

CVE-2026-46413 普通用户可以将多部分上传路由到管理员备份存储

它链接到这个 GHSA 条目:Regular users can route multipart uploads into the admin backup store · Advisory · discourse/discourse · GitHub

但 CVE-2026-46413 实际上是关于 BUFFALO 无线路由器的一个问题:NVD - CVE-2025-46413

CVE-2026-49256 通过分类序列化器泄露隐藏标签名称

GHSA 条目:Hidden tag names leaked via category serializers · Advisory · discourse/discourse · GitHub

但 CVE-2026-49256 是关于 PillarJS 的 path-to-regexp 中的一个 bug:NVD - CVE-2026-4926

虽然 Discourse 使用了它,但该 bug 描述的是 Ruby 端的问题。

CVE-2026-44787 注册时分配 primary_group_id 会授予 whisperer 权限

GHSA 条目:Signup-time primary_group_id assignment grants whisperer access · Advisory · discourse/discourse · GitHub

但 CVE-2026-44787 是关于 Apache APISIX 的:NVD - CVE-2026-44087

2 个赞

您的链接全都错了(它们指向了不同的编号)。我想我们的 CVE 尚未同步?

4 个赞

哦,真是服了……这搜索简直没用。怪我,我还真以为以前那样搜是管用的。(可能我还需要再喝点咖啡)

4 个赞