Version stable 2.8.10 de Discourse
Discourse recommande fortement à tous les sites de suivre la branche par défaut tests-passés de Discourse. La branche « stable » se concentre davantage sur l’absence de changement que sur l’absence de bugs - toutes les versions, y compris celles sur tests-passés et bêta, sont prêtes pour la production.
Changements
Sécurité :
- Restreindre l’affichage des titres de sujets associés aux badges d’utilisateur CVE-2022-39378
- Étendre et améliorer les protections SSRF CVE-2022-39241
- Corriger la validation des e-mails des liens d’invitation CVE-2022-39356
Mises à jour de sécurité des plugins
Plusieurs plugins ont également reçu des correctifs de sécurité. Assurez-vous de mettre à jour les plugins en plus de Discourse.
- Patreon : Critical security fix for the discourse-patreon plugin
- Chat : Nom et description du canal susceptibles de XSS CVE-2022-39279
- Intégration Chat : Protections insuffisantes contre les requêtes inter-sites non autorisées (SSRF) CVE-2022-39241
- OAuth2 Basic : Protections insuffisantes contre les requêtes inter-sites non autorisées (SSRF) CVE-2022-39241
- OpenID Connect : Protections insuffisantes contre les requêtes inter-sites non autorisées (SSRF) CVE-2022-39241