Discourse 2.8.10 Stable 版本发布
Discourse 强烈建议所有站点遵循 Discourse 的默认 tests-passed 分支。 “stable” 分支更侧重于避免更改而非避免 bug——所有版本,包括 tests-passed 和 beta 版本,都已准备好投入生产。
更改
安全:
- 限制与用户徽章关联的主题标题的显示 CVE-2022-39378
- 扩展和改进 SSRF 防护 CVE-2022-39241
- 修复邀请链接电子邮件验证 CVE-2022-39356
插件安全更新
多个插件也已收到安全修复。请务必在更新 Discourse 的同时更新插件。
- Patreon: Critical security fix for the discourse-patreon plugin
- Chat: 频道名称和描述容易受到 XSS 攻击 CVE-2022-39279
- Chat Integration: 服务器端请求伪造防护不足 CVE-2022-39241
- OAuth2 Basic: 服务器端请求伪造防护不足 CVE-2022-39241
- OpenID Connect: 服务器端请求伪造防护不足 CVE-2022-39241