3.1.0.beta2 : Correctifs de sécurité, nouveaux scopes d'API et plus

Annonces
1

Cette bêta inclut plusieurs correctifs de sécurité pour des problèmes signalés par notre communauté et HackerOne. Elle inclut également des améliorations des étendues d’API.

Sécurité

  • Empêcher le XSS dans les onebox locaux (CVE-2023-22468)
  • Le paramètre exclude_tags pouvait révéler quels sujets avaient un tag caché spécifique (CVE-2023-23624)
  • Afficher uniquement les listes de tags restreints aux utilisateurs autorisés (CVE-2023-23620)
  • Empêcher ReDoS dans l’analyse de l’agent utilisateur (CVE-2023-23621)
  • Empêcher ReDoS en rendant l’expression régulière de l’URL SSH non ambiguë (CVE en attente)
  • Supprimer le contournement pour base_url (CVE-2023-23615)
  • Limiter le nombre de caractères des demandes d’adhésion aux groupes (CVE-2023-23616)
  • Limiter la longueur des brouillons (CVE-2023-22739)
  • Limiter la longueur et le nombre préchargé des brouillons de chat (CVE-2023-22740)
  • Mettre à jour Rails vers la v7.0.4.1 (voir l’annonce rubyonrails.org)
  • Par défaut, les tags affichent le nombre de sujets dans les catégories non restreintes (CVE en attente)

Nouvelles Fonctionnalités

  • Ajouter des étendues d’API pour suspendre les utilisateurs, créer des invitations, rechercher
  • Ajouter une meilleure prise en charge des onebox TikTok
  • Permettre aux administrateurs de supprimer définitivement les révisions
  • Ajouter un paramètre permettant aux utilisateurs TL4 de supprimer des messages
  • Permettre aux utilisateurs TL4 de voir les sujets non répertoriés
  • Afficher plus de contexte dans les onebox de sujets Discourse-à-Discourse

Fonctionnalités et Corrections Supplémentaires

Cliquez pour développer
  • Permettre de changer le slug lors de la création d’un canal de chat
  • Introduire pg_force_readonly_mode comme GlobalSetting
  • Ajouter le filtre in:polls à la recherche
  • Ajouter une tâche rake pour marquer l’ancien format de hashtag pour le re-rebaking
  • Vérifier les signatures des webhooks d’e-mail
  • Étendre l’étendue de l’API de mise à jour des sujets pour permettre les mises à jour de statut
  • Augmenter la mise en cache des avatars redirigés à 1 jour
  • Ajouter une instrumentation de base à la file d’attente de report
  • Permettre aux propriétaires de groupes de promouvoir d’autres propriétaires

Corrections de bugs

  • lazy_yt_enabled n’affecte pas le moteur
  • Supprimer automatiquement les éléments à examiner associés aux messages
  • La sélection de texte empêche l’ouverture des liens dans de nouveaux onglets
  • Ne pas ajouter de balises use/svg vides dans ExcerptParser
  • Ignorer l’e-mail s’il est vide lors de la synchronisation des attributs SSO.
  • L’utilisateur TL4 n’est pas redirigé vers le dernier sujet lors de la suppression d’un sujet
  • Ne pas compter les messages supprimés pour la sécurité des références de téléchargement
  • Ajoute un décalage négatif au décalage du popper
  • data-popper-reference-hidden trop large
  • Correction de la marge sur le mini sélecteur de tags
  • Empêche l’affichage du texte au survol des msg-actions
  • Génère un slug automatique pour les canaux mis à la corbeille
  • L’utilisateur TL4 peut voir les sujets supprimés
  • Permettre aux modales de défiler sur mobile lorsque le clavier est ouvert
  • Ne pas afficher les options réservées au personnel aux non-personnels dans le menu groupé des membres du groupe
  • Déplacer le paramètre min tag dans la section tags de la catégorie d’édition
  • Suppression des hôtes intégrables mal configurés
  • Interroger UploadReference dans UploadSecurity pour les téléchargements existants
  • Changer le type des paramètres du site du domaine d’e-mail en host_list
  • Ne pas remplacer le nom du canal lorsque la catégorie est sélectionnée
  • Mettre en file d’attente notify_mailing_list_subscribers lorsqu’un message est récupéré
  • Changer le libellé du titre → name dans la page d’informations du canal
  • Nouveau support des hashtags pour le bot narratif avancé
  • Restaurer la transformation de propriété de classe babel pour les thèmes
  • Valider le paramètre tags de TopicQuery
  • Afficher correctement l’icône de tag onebox Discourse dans le chat
  • Corriger la migration incorrecte des paramètres de hashtag
  • Utiliser les hashtags dans les MP d’archive de canal si disponibles
  • Ajouter une migration pour réindexer les index invalides
  • S’assurer que l’extraction des sondages n’est pas tentée si le corps du message est absent
  • Précharger les attributs de la barre latérale utilisateur lorsque ?enable_sidebar=1
  • Empêcher les mises à jour concurrentes de top_topics
  • Redirection de déconnexion de plugin compatible avec Ruby 2
  • Corriger un test instable résultant des arguments de mots-clés de PostAlerter
  • Régression dans la portée du message MessageBus de TopicTrackingState.
  • Améliorer le rapport d’erreurs et les modes d’échec pour l’archivage des canaux

Changements UX

  • Supprimer l’espace blanc supplémentaire dans l’aide à la recherche
  • Empêcher le débordement du statut de la carte utilisateur
  • Améliorer la disposition et l’alignement des boutons groupés
  • Corrections et ajustements pour la navigation utilisateur
  • Définir l’historique des pénalités sur “sticky”
  • Masquer la date dans la chronologie lors du retour à la ligne
  • Supprimer la marge gauche
  • Ajouter une marge au mot-clé de recherche
  • Passer la disposition des boîtes de catégories de flexbox à grid
  • Empêcher le texte du bouton de contexte de recherche de passer à la ligne
  • Ajouter un espace manquant et d’autres ajustements mineurs de recherche
  • Réorganiser les champs du canal de chat
  • Retravailler le popup de citation/partage, corriger le scintillement au survol
  • Refactoriser l’alignement de l’icône de tag dans la onebox Discourse
  • Corriger les problèmes d’alignement avec l’autocomplétion
  • Rationaliser les avatars dans la liste des sujets

Performance

  • Ne pas analyser les messages pour les mentions lorsque le statut de l’utilisateur est désactivé
  • Requêtes N+1 lors de la visualisation des tags

Accessibilité

  • Les tags Discourse doivent avoir un rôle et une étiquette
  • Ajouter des aria-labels pour les zones de texte de signalement
  • Supprimer les balises de titre du profil utilisateur
  • Ajouter un lien de saut secondaire aux profils utilisateur
  • Titres de page utilisateur plus descriptifs
  • Ajouter des balises aria à la nouvelle navigation utilisateur
13 « J'aime »
2

Mais attendez, il y a plus !

Nous faisons de notre mieux pour mettre en évidence les nouvelles fonctionnalités et les changements pour vous, mais il y a toujours trop de changements à décrire. Pour une liste complète des nouvelles fonctionnalités, des corrections de bugs, des améliorations de l’expérience utilisateur, et plus encore, assurez-vous de consulter les fonctionnalités et corrections supplémentaires listées ci-dessous.

Améliorations des plugins

discourse-animated-avatars

Corrections de bugs
  • Serialiseur d’utilisateur par défaut animé avatar à nil

discourse-assign

Nouvelles fonctionnalités
  • Ouvrir automatiquement le sélecteur d’assigné
  • Afficher le statut de l’utilisateur lors de la recherche d’assignés

discourse-calendar

Nouvelles fonctionnalités
  • Ajouter une option minimale aux événements
Corrections de bugs
  • L’événement ne se charge pas après sa création
  • Ajouter la traduction manquante pour le titre de la notification push de rappel d’événement

discourse-characters-required

Corrections de bugs
  • Importation du composant

discourse-code-review

Corrections de bugs
  • Autoriser le diff avec le premier commit
  • Ignorer les événements de PR non pertinents

discourse-encrypt

Corrections de bugs
  • Recherche de mention cassée

discourse-prometheus-alert-receiver

Performances
  • Supprimer la requête d’alertes ouvertes/en cours qui n’est plus utilisée côté client.

discourse-zendesk-plugin

Changements de l'UX
  • Améliorer les noms et descriptions des paramètres
7 « J'aime »