Mises à jour de sécurité
Cette bêta inclut 8 correctifs de sécurité pour des problèmes signalés par notre communauté et HackerOne.
Sécurité
- Envoyer par copie cachée (BCC) les e-mails des utilisateurs actifs depuis le SMTP de groupe CVE-2022-46168
- Assainir les titres des
PendingPostavant le rendu pour éviter le XSS CVE-2023-22454 - Ne pas exposer le nombre de messages d’un utilisateur aux utilisateurs qui ne peuvent pas voir le sujet CVE-2023-22453
- Échapper les guillemets dans la description des balises lors du rendu CVE-2023-22455
- Vérifier la longueur du corps brut du message pour éviter le contournement de
max_lengthCVE-2022-23549 - Supprimer les jetons d’e-mail lorsqu’un e-mail d’utilisateur est modifié ou supprimé CVE-2022-46177
- Utiliser
rstripau lieu deregex gsubpour éviter ReDOS CVE-2022-23548 - Convertir
send_digesten une requête POST CVE-2022-23546
Mises à jour de sécurité des composants de thème
Le composant de thème mermaid a également reçu un correctif de sécurité. Assurez-vous de mettre à jour les composants de thème en plus de Discourse.
- Rendre les erreurs sous forme de texte brut CVE-2022-46180
Fonctionnalités et corrections supplémentaires
Cliquer pour développer
Fonctionnalités
- Rendre l’autocomplétion expérimentale des hashtags par défaut pour les nouveaux sites
Corrections de bugs
- Utilisation et valeur par défaut de la préférence de suppression automatique des signets
- Vérifier que le nœud a un attribut
srclors de l’obtention de la taille
Changements UX
- Titres de la barre latérale plus descriptifs, casse
- Corriger le positionnement du menu d’administration du sujet
- Supprimer les chaînes inutilisées
- Correction du désalignement dans l’autocomplétion
Performance
- Utiliser un canal spécifique à l’utilisateur pour la déconnexion du message-bus