Discourse 2.8.10 Stabile Veröffentlichung
Discourse empfiehlt dringend, dass alle Seiten dem Standard-Branch “tests-passed” von Discourse folgen. Der “stable”-Branch konzentriert sich mehr auf mangelnde Änderungen als auf mangelnde Fehler - alle Veröffentlichungen, einschließlich derer auf tests-passed und Beta, sind produktionsreif.
Änderungen
Sicherheit:
- Einschränkung der Anzeige von Topic-Titeln, die mit Benutzer-Badges verknüpft sind CVE-2022-39378
- Erweiterung und Verbesserung von SSRF-Schutzmaßnahmen CVE-2022-39241
- Behebung der Validierung von Einladungslinks per E-Mail CVE-2022-39356
Plugin-Sicherheitsupdates
Auch mehrere Plugins haben Sicherheitspatches erhalten. Stellen Sie sicher, dass Sie zusätzlich zu Discourse auch die Plugins aktualisieren.
- Patreon: Critical security fix for the discourse-patreon plugin
- Chat: Kanalname und Beschreibung anfällig für XSS CVE-2022-39279
- Chat Integration: Unzureichende Server-Side Request Forgery (SSRF)-Schutzmaßnahmen CVE-2022-39241
- OAuth2 Basic: Unzureichende Server-Side Request Forgery (SSRF)-Schutzmaßnahmen CVE-2022-39241
- OpenID Connect: Unzureichende Server-Side Request Forgery (SSRF)-Schutzmaßnahmen CVE-2022-39241