Lançamento Estável do Discourse 2.8.10
O Discourse recomenda fortemente que todos os sites sigam o branch padrão tests-passed do Discourse. O branch “stable” foca mais na ausência de mudanças do que na ausência de bugs - todas as versões, incluindo as de tests-passed e beta, estão prontas para produção.
Mudanças
Segurança:
- Restringir a exibição de títulos de tópicos associados a distintivos de usuário CVE-2022-39378
- Expandir e melhorar as Proteções SSRF CVE-2022-39241
- Corrigir validação de e-mail de link de convite CVE-2022-39356
Atualizações de Segurança de Plugins
Vários plugins também receberam correções de segurança. Certifique-se de atualizar os plugins além do Discourse.
- Patreon: Critical security fix for the discourse-patreon plugin
- Chat: Nome e descrição do canal suscetíveis a XSS CVE-2022-39279
- Integração de Chat: Proteções insuficientes contra Server Side Request Forgery CVE-2022-39241
- OAuth2 Básico: Proteções insuficientes contra Server Side Request Forgery CVE-2022-39241
- OpenID Connect: Proteções insuficientes contra Server Side Request Forgery CVE-2022-39241