Стабильный релиз Discourse 2.8.14
Discourse настоятельно рекомендует всем сайтам использовать ветку tests-passed по умолчанию. Ветка «stable» больше ориентирована на отсутствие изменений, а не на отсутствие ошибок — все релизы, включая те, что находятся в ветках tests-passed и beta, готовы к использованию в продакшене.
Изменения
Безопасность:
- Скрытая рассылка (BCC) писем активным пользователям из групп через SMTP CVE-2022-46168
- Очистка заголовков PendingPost перед отображением для предотвращения XSS CVE-2023-22454
- Скрытие количества постов пользователей от тех, кто не может просматривать тему CVE-2023-22453
- Экранирование кавычек в описании тега при отображении CVE-2023-22455
- Проверка длины исходного тела поста для обхода ограничения max_length CVE-2022-23549
- Удаление токенов электронной почты при изменении или удалении адреса электронной почты пользователя CVE-2022-46177
- Использование rstrip вместо регулярного выражения gsub для предотвращения ReDOS CVE-2022-23548
- Преобразование send_digest в POST-запрос CVE-2022-23546
Обновления безопасности компонентов тем
Компонент темы Mermaid также получил исправление безопасности. Обязательно обновите компоненты тем в дополнение к обновлению самого Discourse.
- Отображение ошибок как обычного текста CVE-2022-46180