3.0.0.beta16：安全版本

jomaxro (Joshua Rosenfeld) 2023 年1 月 5 日 02:25 1

安全更新

此测试版包含 8 项安全修复，解决了社区和 HackerOne 报告的问题。

安全

将群组 SMTP 的 BCC 用户电子邮件 CVE-2022-46168
对渲染前的待处理帖子标题进行清理，以防止 XSS CVE-2023-22454
不向无法查看主题的用户公开用户帖子计数 CVE-2023-22453
在渲染标签描述时转义引号，以防止 XSS CVE-2023-22455
检查原始帖子正文的长度，以防止 max_length 绕过 CVE-2022-23549
在更改或删除用户电子邮件时删除电子邮件令牌 CVE-2022-46177
使用 rstrip 而不是 regex gsub 来防止 ReDOS CVE-2022-23548
将 send_digest 转换为 POST 请求 CVE-2022-23546

主题组件安全更新

Mermaid 主题组件也已收到安全修复。请务必同时更新主题组件和 Discourse。

将错误渲染为纯文本 CVE-2022-46180

附加功能和修复

点击展开

功能

将实验性标签自动完成设为新站点的默认设置

Bug 修复

书签自动删除首选项的使用和默认值
获取大小时检查节点是否具有 src 属性

用户体验更改

更具描述性的侧边栏标题、大小写
修复主题管理弹出菜单的位置
删除未使用的字符串
修复自动完成中的对齐问题

性能

使用用户特定频道进行消息总线注销

11 个赞

话题		回复	浏览量	活动
2.8.14: Security Release Announcements release-notes	0	1142	2023 年1 月 5 日
2.8.10: Security Release Announcements release-notes	0	955	2022 年11 月 1 日
3.1.5: Security and bug fix release Announcements release-notes	0	1705	2024 年1 月 30 日
3.5.0.beta6 Security fixes release Announcements release-notes	1	360	2025 年6 月 9 日
3.3.2: Security and maintenance release Announcements release-notes	0	645	2024 年10 月 7 日