Discourse 2.8.14 Versión Estable
Discourse recomienda encarecidamente que todos los sitios sigan la rama predeterminada tests-passed de Discourse. La rama “estable” se centra más en la ausencia de cambios que en la ausencia de errores; todas las versiones, incluidas las de tests-passed y beta, están listas para producción.
Cambios
Seguridad:
- Correos electrónicos de usuarios activos de CCO (Copia Oculta) desde SMTP grupal CVE-2022-46168
- Saneamiento de títulos de
PendingPostantes de renderizarlos para prevenir XSS CVE-2023-22454 - No exponer recuentos de publicaciones de usuarios a usuarios que no pueden ver el tema CVE-2023-22453
- Escapar comillas en la descripción de etiquetas al renderizar CVE-2023-22455
- Comprobar la longitud del cuerpo de la publicación sin procesar para prevenir el bypass de
max_lengthCVE-2022-23549 - Eliminar tokens de correo electrónico cuando se cambia o elimina el correo electrónico de un usuario CVE-2022-46177
- Usar
rstripen lugar degsubcon expresiones regulares para prevenir ReDOS CVE-2022-23548 - Convertir
send_digesta una solicitud POST CVE-2022-23546
Actualizaciones de seguridad del componente de temas
El componente de temas mermaid también ha recibido una corrección de seguridad. Asegúrate de actualizar los componentes de temas además de Discourse.
- Renderizar errores como texto plano CVE-2022-46180