Atualizações de Segurança
Esta versão beta inclui 8 correções de segurança para problemas relatados por nossa comunidade e pela HackerOne.
Segurança
- E-mails de usuários ativos do BCC de SMTP em grupo CVE-2022-46168
- Sanitiza títulos de Posts Pendentes antes de renderizar para prevenir XSS CVE-2023-22454
- Não expõe contagens de posts de usuários para usuários que não podem ver o tópico CVE-2023-22453
- Escapa aspas na descrição da tag ao renderizar CVE-2023-22455
- Verifica o comprimento do corpo bruto do post para prevenir bypass de
max_lengthCVE-2022-23549 - Exclui tokens de e-mail quando o e-mail de um usuário é alterado ou excluído CVE-2022-46177
- Usa
rstripem vez deregex gsubpara prevenir ReDOS CVE-2022-23548 - Converte
send_digestpara uma requisição POST CVE-2022-23546
Atualizações de Segurança do Componente de Tema
O componente de tema Mermaid também recebeu uma correção de segurança. Certifique-se de atualizar os componentes de tema além do Discourse.
- Renderiza erros como texto simples CVE-2022-46180
Recursos e Correções Adicionais
Clique para expandir
Recursos
- Torna o autocompletar experimental de hashtags padrão para novos sites
Correções de Bugs
- Uso e valor padrão da preferência de exclusão automática de favoritos
- Verifica se o nó tem um atributo
srcao obter o tamanho
Mudanças de UX
- Títulos de barra lateral mais descritivos, capitalização
- Corrige o posicionamento do menu pop-up de administração do tópico
- Remove strings não utilizadas
- Correção para desalinhamento no autocompletar
Desempenho
- Usa canal específico do usuário para logout do message-bus