Обновления безопасности
В этой бета-версии исправлено 8 уязвимостей безопасности, о которых сообщили участники нашего сообщества и HackerOne.
Безопасность
- Скрытая копия (BCC) адресов электронной почты активных пользователей при отправке через групповой SMTP CVE-2022-46168
- Очистка заголовков PendingPost перед отображением для предотвращения XSS-атак CVE-2023-22454
- Предотвращение раскрытия количества сообщений пользователей тем, у кого нет доступа к теме CVE-2023-22453
- Экранирование кавычек в описании тега при отображении CVE-2023-22455
- Проверка длины исходного текста сообщения для обхода ограничения max_length CVE-2022-23549
- Удаление токенов электронной почты при изменении или удалении адреса электронной почты пользователя CVE-2022-46177
- Использование rstrip вместо регулярного выражения gsub для предотвращения ReDOS-атак CVE-2022-23548
- Преобразование send_digest в POST-запрос CVE-2022-23546
Обновления безопасности компонента темы
Компонент темы Mermaid также получил исправление безопасности. Обязательно обновите компоненты темы, помимо обновления самого Discourse.
- Отображение ошибок как простого текста CVE-2022-46180
Дополнительные функции и исправления
Нажмите, чтобы развернуть
Функции
- Включение по умолчанию экспериментального автодополнения хэштегов для новых сайтов
Исправления ошибок
- Использование и значение по умолчанию настройки автоматического удаления закладок
- Проверка наличия атрибута src у узла при получении размера
Изменения в пользовательском интерфейсе (UX)
- Более информативные заголовки боковой панели, корректное использование регистра
- Исправление позиционирования всплывающего меню администратора темы
- Удаление неиспользуемых строк
- Исправление несоосности в автодополнении
Производительность
- Использование пользовательского канала для выхода из системы через message-bus