Lanzamiento Estable de Discourse 2.8.10
Discourse recomienda encarecidamente que todos los sitios sigan la rama por defecto tests-passed de Discourse. La rama “stable” se centra más en la ausencia de cambios que en la ausencia de errores: todas las versiones, incluidas las de tests-passed y beta, están listas para producción.
Cambios
Seguridad:
- Restringir la visualización de títulos de temas asociados con insignias de usuario CVE-2022-39378
- Ampliar y mejorar las protecciones SSRF CVE-2022-39241
- Corregir la validación de correos electrónicos de enlaces de invitación CVE-2022-39356
Actualizaciones de seguridad de plugins
Varios plugins también han recibido correcciones de seguridad. Asegúrate de actualizar los plugins además de Discourse.
- Patreon: Critical security fix for the discourse-patreon plugin
- Chat: Nombre y descripción del canal susceptibles a XSS CVE-2022-39279
- Integración de Chat: Protecciones insuficientes contra la falsificación de solicitudes del lado del servidor CVE-2022-39241
- OAuth2 Básico: Protecciones insuficientes contra la falsificación de solicitudes del lado del servidor CVE-2022-39241
- OpenID Connect: Protecciones insuficientes contra la falsificación de solicitudes del lado del servidor CVE-2022-39241