Sicherheitsupdates
Diese Betaversion enthält 8 Sicherheitsfixes für Probleme, die von unserer Community und HackerOne gemeldet wurden.
Sicherheit
- BCC-E-Mails aktiver Benutzer von Gruppen-SMTP CVE-2022-46168
- Bereinigen Sie ausstehende Beitrags-Titel vor dem Rendern, um XSS zu verhindern CVE-2023-22454
- Zeigen Sie Beitragsanzahlen von Benutzern nicht Benutzern an, die das Thema nicht sehen können CVE-2023-22453
- Maskieren Sie Anführungszeichen in der Tag-Beschreibung beim Rendern CVE-2023-22455
- Überprüfen Sie die Länge des rohen Beitrags-Textes, um eine Umgehung der maximalen Länge zu verhindern CVE-2022-23549
- Löschen Sie E-Mail-Token, wenn die E-Mail eines Benutzers geändert oder gelöscht wird CVE-2022-46177
- Verwenden Sie rstrip anstelle von regex gsub, um ReDOS zu verhindern CVE-2022-23548
- Konvertieren Sie send_digest in eine POST-Anfrage CVE-2022-23546
Sicherheitsupdates für Theme-Komponenten
Die Mermaid-Theme-Komponente hat ebenfalls einen Sicherheitsfix erhalten. Stellen Sie sicher, dass Sie Theme-Komponenten zusätzlich zu Discourse aktualisieren.
- Rendern Sie Fehler als Nur-Text CVE-2022-46180
Zusätzliche Funktionen und Fehlerbehebungen
Zum Erweitern klicken
Funktionen
- Machen Sie die experimentelle Hashtag-Autovervollständigung für neue Websites zum Standard
Fehlerbehebungen
- Verwendung und Standardwert der Lesezeichen-Autolöschpräferenz
- Überprüfen Sie, ob der Knoten ein src-Attribut hat, wenn die Größe ermittelt wird
UX-Änderungen
- Aussagekräftigere Titel in der Seitenleiste, Groß-/Kleinschreibung
- Korrigieren Sie die Position des Admin-Popup-Menüs für Themen
- Entfernen Sie ungenutzte Zeichenfolgen
- Korrektur der Fehlausrichtung bei der Autovervollständigung
Leistung
- Verwenden Sie benutzerspezifischen Kanal für Message-Bus-Logout