Version stable 2.8.14 de Discourse
Discourse recommande fortement à tous les sites de suivre la branche par défaut tests-passed de Discourse. La branche « stable » se concentre davantage sur l’absence de changement que sur l’absence de bugs - toutes les versions, y compris celles sur tests-passed et beta, sont prêtes pour la production.
Changements
Sécurité :
- BCC des e-mails d’utilisateurs actifs depuis le SMTP du groupe CVE-2022-46168
- Nettoyer les titres des
PendingPostavant le rendu pour éviter le XSS CVE-2023-22454 - Ne pas exposer le nombre de messages des utilisateurs aux utilisateurs qui ne peuvent pas voir le sujet CVE-2023-22453
- Échapper les guillemets dans la description des tags lors du rendu CVE-2023-22455
- Vérifier la longueur du corps brut du message pour éviter le contournement de
max_lengthCVE-2022-23549 - Supprimer les tokens d’e-mail lorsqu’un e-mail d’utilisateur est modifié ou supprimé CVE-2022-46177
- Utiliser
rstripau lieu deregex gsubpour éviter ReDOS CVE-2022-23548 - Convertir
send_digesten une requête POST CVE-2022-23546
Mises à jour de sécurité des composants de thème
Le composant de thème mermaid a également reçu un correctif de sécurité. Assurez-vous de mettre à jour les composants de thème en plus de Discourse.
- Rendre les erreurs sous forme de texte brut CVE-2022-46180