Actualizaciones de seguridad
Esta beta incluye 8 correcciones de seguridad para problemas reportados por nuestra comunidad y HackerOne.
Seguridad
- Correos electrónicos de usuarios activos de BCC desde SMTP grupal CVE-2022-46168
- Saneamiento de títulos de PendingPost antes de renderizar para prevenir XSS CVE-2023-22454
- No exponer recuentos de publicaciones de usuarios a usuarios que no pueden ver el tema CVE-2023-22453
- Escapar comillas en la descripción de etiquetas al renderizar CVE-2023-22455
- Comprobar la longitud del cuerpo de la publicación sin procesar para prevenir omisión de
max_lengthCVE-2022-23549 - Eliminar tokens de correo electrónico cuando se cambia o elimina el correo electrónico de un usuario CVE-2022-46177
- Usar
rstripen lugar degsubcon expresiones regulares para prevenir ReDOS CVE-2022-23548 - Convertir
send_digesta una solicitud POST CVE-2022-23546
Actualizaciones de seguridad de componentes de temas
El componente de tema mermaid también ha recibido una corrección de seguridad. Asegúrate de actualizar los componentes de temas además de Discourse.
- Renderizar errores como texto plano CVE-2022-46180
Características y correcciones adicionales
Haz clic para expandir
Características
- Hacer que la autocompletación experimental de hashtags sea predeterminada para nuevos sitios
Correcciones de errores
- Uso y valor predeterminado de la preferencia de eliminación automática de marcadores
- Comprobar que el nodo tiene un atributo
srcal obtener el tamaño
Cambios en la experiencia de usuario
- Títulos de barra lateral más descriptivos, uso de mayúsculas
- Corregir la posición del menú emergente de administración de temas
- Eliminar cadenas no utilizadas
- Corrección de desalineación en la autocompletación
Rendimiento
- Usar canal específico del usuario para el cierre de sesión del bus de mensajes