Discourse 2.8.14 Stabile Veröffentlichung
Discourse empfiehlt dringend, dass alle Websites dem Standard-Branch “tests-passed” von Discourse folgen. Der “stabile” Branch konzentriert sich mehr auf mangelnde Änderungen als auf mangelnde Fehler – alle Veröffentlichungen, einschließlich derer auf tests-passed und Beta, sind produktionsreif.
Änderungen
Sicherheit:
- BCC aktive Benutzer-E-Mails von Gruppen-SMTP CVE-2022-46168
- Bereinigen von PendingPost-Titeln vor dem Rendern, um XSS zu verhindern CVE-2023-22454
- Benutzer-Post-Zählungen nicht an Benutzer weitergeben, die das Thema nicht sehen können CVE-2023-22453
- Anführungszeichen in Tag-Beschreibungen beim Rendern escapen CVE-2023-22455
- Länge des rohen Post-Bodys prüfen, um max_length-Umgehung zu verhindern CVE-2022-23549
- E-Mail-Token löschen, wenn die E-Mail eines Benutzers geändert oder gelöscht wird CVE-2022-46177
- rstrip anstelle von regex gsub verwenden, um ReDOS zu verhindern CVE-2022-23548
- send_digest in eine POST-Anfrage konvertieren CVE-2022-23546
Theme Component Sicherheitsupdates
Die Mermaid-Theme-Komponente hat ebenfalls einen Sicherheitspatch erhalten. Stellen Sie sicher, dass Sie Theme-Komponenten zusätzlich zu Discourse aktualisieren.
- Fehler als Klartext rendern CVE-2022-46180