Discourse 2.8.14 Stable Release
Discourse 强烈建议所有站点遵循 Discourse 的默认 tests-passed 分支。 “stable” 分支更侧重于无更改而不是无 bug——所有发行版,包括 tests-passed 和 beta 上的发行版,都已准备好投入生产。
更改
安全性:
- BCC 来自组 SMTP 的活动用户电子邮件 CVE-2022-46168
- 渲染前对 PendingPost 标题进行清理,以防止 XSS CVE-2023-22454
- 不要向无法看到主题的用户公开用户帖子计数 CVE-2023-22453
- 渲染时转义标签描述中的引号 CVE-2023-22455
- 检查原始帖子正文的长度,以防止 max_length 绕过 CVE-2022-23549
- 用户电子邮件更改或删除时删除电子邮件令牌 CVE-2022-46177
- 使用 rstrip 而不是 regex gsub 来防止 ReDOS CVE-2022-23548
- 将 send_digest 转换为 post 请求 CVE-2022-23546
主题组件安全更新
mermaid 主题组件也收到了安全修复。请务必在更新 Discourse 的同时更新主题组件。
- 渲染错误为纯文本 CVE-2022-46180