Стабильный релиз Discourse 2.8.10
Discourse настоятельно рекомендует всем сайтам использовать ветку tests-passed по умолчанию. Ветка «stable» больше ориентирована на отсутствие изменений, чем на отсутствие ошибок — все релизы, включая те, что в ветках tests-passed и beta, готовы к использованию в продакшене.
Изменения
Безопасность:
- Ограничено отображение заголовков тем, связанных с бейджами пользователей CVE-2022-39378
- Расширены и улучшены защиты от SSRF CVE-2022-39241
- Исправлена валидация электронной почты для ссылок-приглашений CVE-2022-39356
Обновления безопасности плагинов
Несколько плагинов также получили исправления уязвимостей безопасности. Обязательно обновите плагины в дополнение к обновлению самого Discourse.
- Patreon: Critical security fix for the discourse-patreon plugin
- Chat: Имя и описание канала уязвимы для XSS CVE-2022-39279
- Chat Integration: Недостаточная защита от подделки запросов на стороне сервера (SSRF) CVE-2022-39241
- OAuth2 Basic: Недостаточная защита от подделки запросов на стороне сервера (SSRF) CVE-2022-39241
- OpenID Connect: Недостаточная защита от подделки запросов на стороне сервера (SSRF) CVE-2022-39241