Rilascio Stabile di Discourse 2.8.14
Discourse raccomanda vivamente a tutti i siti di seguire il branch predefinito tests-passed di Discourse. Il branch “stable” è più focalizzato sulla mancanza di cambiamenti che sulla mancanza di bug: tutte le release, incluse quelle su tests-passed e beta, sono pronte per la produzione.
Modifiche
Sicurezza:
- Email BCC utenti attivi da SMTP di gruppo CVE-2022-46168
- Sanifica i titoli delle PendingPost prima del rendering per prevenire XSS CVE-2023-22454
- Non esporre i conteggi dei post degli utenti a utenti che non possono vedere l’argomento CVE-2023-22453
- Esegui l’escape delle virgolette nella descrizione dei tag durante il rendering CVE-2023-22455
- Controlla la lunghezza del corpo grezzo del post per prevenire bypass di max_length CVE-2022-23549
- Elimina i token email quando l’email di un utente viene modificata o eliminata CVE-2022-46177
- Usa rstrip invece di regex gsub per prevenire ReDOS CVE-2022-23548
- Converti send_digest in una richiesta POST CVE-2022-23546
Aggiornamenti di sicurezza del componente tema
Anche il componente tema mermaid ha ricevuto una correzione di sicurezza. Assicurati di aggiornare i componenti tema oltre a Discourse.
- Esegui il rendering degli errori come testo semplice CVE-2022-46180