Discourse 3.0.1 稳定版发布
Discourse 强烈建议所有站点遵循 Discourse 的默认 tests-passed 分支。stable 分支更侧重于避免变更而非避免 bug——所有发布,包括 tests-passed 和 beta 版本,都已准备好投入生产环境。
变更
安全
- 防止本地 oneboxes 中的 XSS (CVE-2023-22468)
exclude_tags参数可能泄露哪些主题具有特定的隐藏标签 (CVE-2023-23624)- 仅向授权用户显示受限标签列表 (CVE-2023-23620)
- 防止用户代理解析中的 ReDoS (CVE-2023-23621)
- 通过使 SSH URL 正则表达式无歧义来防止 ReDoS (CVE 待定)
- 删除
base_url的绕过漏洞 (CVE-2023-23615) - 限制群组成员资格请求的字符数 (CVE-2023-23616)
- 限制草稿的长度 (CVE-2023-22739)
- 限制聊天草稿的长度和预加载数量 (CVE-2023-22740)
- 将 Rails 升级到 v7.0.4.1 (请参阅 rubyonrails.org 公告)
- 默认显示未受限类别中主题数量的标签 (CVE 待定)
Bug 修复
- 文本选择中断在新标签页中打开链接
- 不要在 ExcerptParser 中添加空的 use/svg 标签
- 同步 SSO 属性时,如果为空则跳过电子邮件。
- TL4 用户在删除主题时未重定向到最新
- 不计算已删除帖子的上传引用安全
- 为 popper 偏移量添加负向偏移
data-popper-reference-hidden过于宽泛- 修复 mini-tag-chooser 的边距
- 防止 msg-actions 显示悬停文本
- 为已删除的频道生成自动 slug
- TL4 用户可以看到已删除的主题
- 允许在键盘打开时在移动设备上滚动模态框
- 不要向非员工在群组成员批量菜单中显示仅限员工的选项
- 将最小标签设置移至编辑类别中的标签部分
- 删除配置错误的嵌入式主机
- 在 UploadSecurity 中查询 UploadReference 以获取现有上传
- 将电子邮件域站点设置类型切换为 host_list
- 选择类别时不要覆盖频道名称
- 恢复帖子时,将 notify_mailing_list_subscribers 加入队列
- 在频道关于页面中将 wording 从 title 改为
name - 为叙事机器人高级叙事添加新的标签支持
- 验证 TopicQuery 的 tags 参数
- 修复不正确的标签设置迁移
- 如果可用,在频道归档 PM 中使用标签
- 添加迁移以重新索引无效索引
- 确保在帖子正文不存在时,不尝试进行投票提取
- 在
?enable_sidebar=1时预加载用户侧边栏属性 - 防止 top_topics 的并发更新
- Ruby 2 向后兼容的插件注销重定向
- 修复由于 PostAlerter 关键字参数导致的测试不稳定
- 改进频道归档的错误报告和故障模式
- TopicTrackingState MessageBus 消息范围回归。(#19835)