Discourse 2.8.14 Stable リリース
Discourse では、すべてのサイトで Discourse のデフォルトの tests-passed ブランチに従うことを強く推奨しています。「stable」ブランチは、「バグがない」ことよりも「変更がない」ことに重点を置いています。tests-passed や beta を含むすべてのリリースは、本番環境で利用可能です。
変更点
セキュリティ:
- グループ SMTP から BCC アクティブユーザーのメールを送信 CVE-2022-46168
- XSS を防ぐために、レンダリング前に PendingPost のタイトルをサニタイズ CVE-2023-23454
- トピックを表示できないユーザーにユーザーの投稿数を公開しない CVE-2023-22453
- タグの説明の引用符をレンダリング時にエスケープ CVE-2023-22455
- max_length バイパスを防ぐために、生の投稿本文の長さをチェック CVE-2022-23549
- ユーザーのメールが変更または削除されたときにメールトークンを削除 CVE-2022-46177
- ReDOS を防ぐために、正規表現 gsub の代わりに rstrip を使用 CVE-2022-23548
- send_digest を POST リクエストに変換 CVE-2022-23546
テーマコンポーネントのセキュリティアップデート
Mermaid テーマコンポーネントにもセキュリティ修正が適用されました。Discourse に加えて、テーマコンポーネントも更新してください。
- エラーをプレーンテキストとしてレンダリング CVE-2022-46180