セキュリティアップデート
このベータ版には、コミュニティおよびHackerOneから報告された問題に対する8件のセキュリティ修正が含まれています。
セキュリティ
- グループSMTPからのBCCアクティブユーザーメール CVE-2022-46168
- XSSを防ぐために、レンダリング前に保留中の投稿タイトルをサニタイズ CVE-2023-22454
- トピックを表示できないユーザーに投稿数を公開しない CVE-2023-22453
- レンダリング時にタグの説明内の引用符をエスケープする CVE-2023-22455
- max_lengthバイパスを防ぐために、生の投稿本文の長さをチェックする CVE-2022-23549
- ユーザーのメールが変更または削除されたときにメールトークンを削除する CVE-2022-46177
- ReDOSを防ぐために、正規表現gsubの代わりにrstripを使用する CVE-2022-23548
- send_digestをPOSTリクエストに変換する CVE-2022-23546
テーマコンポーネントのセキュリティアップデート
Mermaidテーマコンポーネントもセキュリティ修正を受けました。Discourseに加えて、テーマコンポーネントも更新してください。
- エラーをプレーンテキストとしてレンダリングする CVE-2022-46180