Discourse 3.1.2 Stabile Veröffentlichung
Discourse empfiehlt dringend, dass alle Websites dem Standard-Branch „tests-passed“ von Discourse folgen. Der „stabile“ Branch konzentriert sich mehr auf fehlende Änderungen als auf fehlende Fehler – alle Veröffentlichungen, einschließlich derer auf „tests-passed“ und Beta, sind produktionsreif.
Sicherheitsänderungen
- Standardlimit hinzufügen, wann Protokolle gekürzt werden sollen [CVE-2023-4388] (Malicious requests can fill up the log files resulting in a DoS on the server · Advisory · discourse/discourse · GitHub)
- Unbefugten Zugriff auf gruppierte Umfrageergebnisse verhindern [CVE-2023-43814] (Exposure of poll options and votes to unauthorized users · Advisory · discourse/discourse · GitHub)
- Verhindern, dass beliebige benutzerdefinierte Themenfelder festgelegt werden [CVE-2023-45147] (Arbitrary keys can be added to a topic's custom fields by any user · Advisory · discourse/discourse · GitHub)
- Vorschau von E-Mail-Texten korrekt maskieren [CVE-2023-43659] (XSS via email preview when CSP disabled · Advisory · discourse/discourse · GitHub)
- Benutzerprofile vor der Öffentlichkeit verbergen [CVE-2023-44391] (Prevent unauthorized access to summary details · Advisory · discourse/discourse · GitHub)
- Berechtigungen für MessageBus im Chat hinzufügen [CVE-2023-45131] (Unauthenticated access to new private chat messages · Advisory · discourse/discourse · GitHub)