إصدار مستقر لـ Discourse 2.8.14
يوصي Discourse بشدة بأن تتبع جميع المواقع الفرع الافتراضي “tests-passed” لـ Discourse. يركز الفرع “stable” بشكل أكبر على عدم التغيير بدلاً من عدم وجود أخطاء - جميع الإصدارات، بما في ذلك تلك الموجودة في “tests-passed” و “beta” جاهزة للإنتاج.
التغييرات
الأمان:
- إرسال رسائل البريد الإلكتروني للمستخدمين النشطين عبر BCC من مجموعة SMTP CVE-2022-46168
- تنقية عناوين المشاركات المعلقة قبل عرضها لمنع XSS CVE-2023-22454
- عدم الكشف عن عدد مشاركات المستخدم للمستخدمين الذين لا يمكنهم رؤية الموضوع CVE-2023-22453
- تهريب علامات الاقتباس في وصف العلامة عند العرض CVE-2023-22455
- التحقق من طول نص المشاركة الخام لمنع تجاوز الحد الأقصى للطول CVE-2022-23549
- حذف رموز البريد الإلكتروني عند تغيير بريد المستخدم أو حذفه CVE-2022-46177
- استخدام rstrip بدلاً من regex gsub لمنع ReDOS CVE-2022-23548
- تحويل send_digest إلى طلب POST CVE-2022-23546
تحديثات أمان مكون الثيم
تلقى مكون الثيم mermaid أيضًا إصلاحًا أمنيًا. تأكد من تحديث مكونات الثيم بالإضافة إلى Discourse.
- عرض الأخطاء كنص عادي CVE-2022-46180