Aggiornamenti di sicurezza
Questa beta include 8 correzioni di sicurezza per problemi segnalati dalla nostra community e da HackerOne.
Sicurezza
- BCC delle email degli utenti attivi dall’SMTP di gruppo CVE-2022-46168
- Sanifica i titoli dei post in sospeso prima del rendering per prevenire XSS CVE-2023-22454
- Non esporre i conteggi dei post degli utenti a utenti che non possono vedere l’argomento CVE-2023-22453
- Esegui l’escape delle virgolette nella descrizione del tag durante il rendering CVE-2023-22455
- Controlla la lunghezza del corpo del post grezzo per prevenire bypass di max_length CVE-2022-23549
- Elimina i token email quando l’email di un utente viene modificata o eliminata CVE-2022-46177
- Utilizza rstrip invece di regex gsub per prevenire ReDOS CVE-2022-23548
- Converti send_digest in una richiesta post CVE-2022-23546
Aggiornamenti di sicurezza del componente tema
Anche il componente tema mermaid ha ricevuto una correzione di sicurezza. Assicurati di aggiornare i componenti tema oltre a Discourse.
- Esegui il rendering degli errori come testo normale CVE-2022-46180
Funzionalità e correzioni aggiuntive
Clicca per espandere
Funzionalità
- Rendi l’autocompletamento degli hashtag sperimentale predefinito per i nuovi siti
Correzioni di bug
- Utilizzo e valore predefinito della preferenza di eliminazione automatica dei segnalibri
- Controlla che il nodo abbia un attributo src quando si ottiene la dimensione
Modifiche UX
- Titoli della barra laterale più descrittivi, formattazione
- Correggi il posizionamento del menu popup di amministrazione dell’argomento
- Rimuovi stringhe non utilizzate
- Correzione per disallineamento nell’autocompletamento
Prestazioni
- Utilizza un canale specifico dell’utente per il logout del message-bus