3.2.1: Rilascio di sicurezza e correzione bug

Rilascio Stabile di Discourse 3.2.1

Discourse raccomanda vivamente che tutti i siti seguano il branch predefinito “tests-passed” di Discourse. Il branch “stable” è più focalizzato sulla mancanza di cambiamenti che sulla mancanza di bug: tutte le release, incluse quelle su “tests-passed” e “beta”, sono pronte per la produzione.

Aggiornamenti di Sicurezza

Questa release include correzioni per i seguenti problemi di sicurezza segnalati dalla nostra community e da HackerOne.

• Divulgazione dell’esistenza di sottocategorie segrete (CVE-2024-24748)
• DoS tramite Pixel Flood (CVE-2024-24827)
• DoS tramite invito - nessun limite massimo di dimensione del campo (CVE-2024-27085)
• DoS tramite log delle azioni dello staff (CVE-2024-27100)
• Divulgazione dell’esistenza di categorie segrete con sfondi personalizzati CVE-2024-28242

Ancora di più!

Ma aspetta, c’è dell’altro! Facciamo del nostro meglio per evidenziare nuove funzionalità e modifiche per voi, ma ci sono sempre troppe variazioni da dettagliare. Per un elenco completo di nuove funzionalità, correzioni di bug, miglioramenti dell’esperienza utente e altro ancora, assicuratevi di consultare le Funzionalità Aggiuntive e le Correzioni elencate di seguito.

Miglioramenti dei plugin

discourse-activity-pub

Correzioni di bug

• Assicurarsi che le collezioni di argomenti esistano per le attività full_topic (67)
• Utilizzare il percorso completo del slug per ricaricare le categorie con le autorizzazioni (65)
• Registro di errore per il lavoro di consegna (64)

discourse-adplugin

Nuove funzionalità

• Migliorare la compatibilità DFP / Ad-manager con Content-Security-Policy (201)

Correzioni di bug

• Calcolare l’assenza di annunci per i gruppi lato server (200)
• Aggiungere gruppi esclusi per ogni piattaforma pubblicitaria (197)

discourse-ai

Nuove funzionalità

• Condividere conversazioni con l’AI tramite un URL (521)
• Ricerca semantica rapida AI (501)
• Aggiunta della personalità e degli strumenti GitHub Helper AI Bot (513)
• Supporto per Claude Opus e Sonnet (508)
• Opzione per l’AI triage per inviare un post alla coda di revisione (498)
• Supporto dell’assistente AI in lingue non inglesi (489)
• Gestione dei caricamenti sicuri nella didascalia dell’immagine (476)
• Didascalia immagine AI (470)
• Nuova personalità Discourse Helper (473)
• Personalità menzionabili e strumento di selezione casuale, limiti di contesto (466)
• Consentire alle personalità di fornire i parametri top_p e temperature (459)
• Affinare il report LLM per seguire le istruzioni più da vicino (451)

Correzioni di bug

• Evidenziazione della sintassi per le conversioni shared-ai con CSP abilitato (532)
• Gestione degli Unicode nel tokenizzatore (515)
• Scadenza delle risorse quando il CSS cambia
• Traduzione mancante nella pagina di condivisione (528)
• Non mostrare erroneamente la condivisione della conversazione (526)
• Filtrare gli argomenti eliminati in modo soft durante il backfill del sentiment (527)
• Ai-image-caption non deve crashare durante il controllo se currentUser può usare l’assistente (523)
• La funzione di didascalia immagine deve rispettare i gruppi dell’assistente AI del compositore (522)
• Ottimizzare la chiamata delle funzioni (519)
• Migliorare gli input dell’editor delle personalità AI e l’autenticazione opzionale di GitHub (518)
• Prevenire la creazione dei titoli dei thread di chat AI prima che vengano pubblicati i messaggi di risposta (517)
• Evitare tutti i loop di feedback dei bot (507)
• Backspace nel prompt personalizzato del compositore chiude il menu (505)
• Salvataggio in lingue non inglesi della personalità di sistema, PM del bot mancanti
• Supporto per chiamate multiple agli strumenti (502)
• Streaming dei messaggi quando si invia un messaggio privato diretto a una personalità (500)
• Supporto degli spazi all’interno degli argomenti per Open AI (499)
• Chiamata del servizio del compositore che interrompe le modifiche condivise (494)
• Ridurre la dimensione di troncamento per gli embedding di Gemini (493)
• La generazione di immagini in Gemini era rotta (490)
• La didascalia era rotta con chiamate multiple successive (481)
• Impossibile condividere conversazioni con l’utente della personalità (479)
• Pulizia dei risultati della ricerca AI quando avviene una ricerca successiva (469)
• Titoli migliori per i thread di chat AI (467)
• Utilizzare un prompt dedicato per i titoli dei thread (464)
• Controllo esplicito per stringa vuota nella migrazione di compatibilità (463)
• Nascondere gli argomenti correlati quando il modulo è disabilitato (461)
• Refuso che causava il fallimento di text_embedding_3_large (460)
• Migliorare la generazione degli embedding (452)
• Aggiungere il nome della tabella per rimuovere la referenza ambigua alla colonna in SQL (449)

Modifiche all’esperienza utente

• Aggiungere il suffisso del titolo alle pagine AI condivise (531)
• Aggiungere il supporto per la modalità scura (529)
• Aggiornare gli stili e il markup per la funzione di condivisione (525)
• Posizionamento dell’assistente AI (506)
• Regolazioni minori per dimensione e comportamento della didascalia dell’immagine (484)
• Regolazioni minori dello stile della didascalia dell’immagine (482)
• Aggiungere descrizioni mancanti delle impostazioni (465)
• Reintrodurre le convalida delle impostazioni degli embedding (457)
• Convalidare le impostazioni degli embedding (455)

Modifiche alla sicurezza

• Applicare una protezione SSRF quando si chiamano servizi dal plugin. (485)

discourse-akismet

Correzioni di bug

• Errore 500 durante la modifica di un PostVotingComment (127)
• Traduzione mancante per review_tl1_users_first_post_voting_comment (128)

discourse-automation

Nuove funzionalità

• Consentire custom_fields o user_fields nel trigger (253)
• Creazione automatica di post quando l’utente viene aggiornato (249)

Correzioni di bug

• Aggiornare il modo in cui passiamo i valori a ModalJsonSchemaEditor (257)
• Formattare correttamente i segnaposto (255)
• Calcolare il prossimo ricorrente giornaliero da ora (248)

discourse-cakeday

Modifiche all’esperienza utente

• Correggere il layout della pagina, pulizia (123)

discourse-calendar

Nuove funzionalità

• Utilizzare le nuove opzioni da downloadCalendar (549)

Correzioni di bug

• La modifica di un campo personalizzato dell’evento non funzionava (550)
• Aggiornare il test per gli aggiustamenti delle festività (541)

Modifiche alla sicurezza

• Nascondere gli invitati agli utenti non autorizzati a vedere il post dell’evento (544)
• Non consentire l’invito a se stessi per eventi privati (543)

discourse-client-performance

Correzioni di bug

• Utilizzare il nome corretto del plugin in PLUGIN_NAME

discourse-data-explorer

Nuove funzionalità

• Aggiungere il tipo di parametro group_list (283)

discourse-global-filter

Correzioni di bug

• Matrice di categoria vuota convertendola in glimmer (133)

discourse-group-membership-ip-block

Modifiche alla sicurezza

• Non esporre i campi personalizzati di altri plugin (13)

discourse-jira

Correzioni di bug

• Aggiornare il campo jira all’API Component. (61)
• Refuso (58)

discourse-kolide

Nuove funzionalità

• Nuova casella di controllo per contrassegnare un dispositivo come mobile durante l’onboarding (89)

discourse-math

Modifiche all’esperienza utente

• Nascondere il toast di caricamento di MathJax (78)

discourse-microsoft-auth

Modifiche alla sicurezza

• Le email da Microsoft non sono verificate (72)

discourse-multilingual

Correzioni di bug

• Test falliti a causa di i18n.default (3)

Modifiche alla sicurezza

• Aggiungere una lunghezza massima al campo personalizzato content_languages

discourse-oauth2-basic

Nuove funzionalità

• Consentire di specificare i percorsi richiesti durante il recupero delle informazioni sull’utente (96)

discourse-post-voting

Correzioni di bug

• Problemi con la pagina successiva per i crawler (193)

discourse-reactions

Nuove funzionalità

• Contare tutte le reazioni come like, con eccezioni controllate da un’impostazione del sito (267)

Correzioni di bug

• Smettere di richiedere altre reazioni quando non ne esistono (282)
• Non mostrare i Like nell’endpoint reactions-received (279)
• Visualizzare le reazioni di attività per altri utenti (278)
• Chiamata alla funzione _allowHover() (277)
• Il passaggio del mouse sull’icona della reazione che causava un errore avrebbe inondato le richieste AJAX (274)
• Non mostrare gli utenti che hanno reagito sotto il menu del post … (275)
• Non mostrare i like con le reazioni nell’elenco dei like ricevuti (273)
• Gestire post.user_id nullo per la sincronizzazione UserAction (270)
• Richiedere il lavoro programmato mancante in plugin.rb (269)

discourse-solved

Correzioni di bug

• Annidare la casella di combinazione all’interno dell’elemento LI (280)

discourse-steam-login

Correzioni di bug

• Stile del pulsante e etichetta (79)

discourse-subscriptions

Correzioni di bug

• Assicurarsi la cancellazione del prodotto al momento della conferma (195)

discourse-templates

Nuove funzionalità

• Aggiungere un link all’argomento sorgente del modello (70)

Correzioni di bug

• Lentezza durante l’elenco dei modelli e della categoria dei modelli (67)

discourse-vk-auth

Modifiche all’esperienza utente

• Migliorare il design del pulsante per abbinare altri accessi (29)

Tutte le funzionalità e le correzioni

Nuove funzionalità

• Generazione automatica e visualizzazione dell’anteprima video (25633)
• Impostazione del sito per includere il post nei messaggi di penalità (26026)

Correzioni di bug

• Impostare lo sfondo video su nero (25744)
• Aggiungere un bordo attorno al pulsante di riproduzione del segnaposto video (25727)
• Riproduzione video su iOS (25513)
• L’origine Webauthn era errata per le configurazioni in sottocartelle (#25651) (25654)
• Salvare correttamente gli inviti di gruppo (stabile) (25567)
• Aggiornare la cache JavaScript dei temi dopo l’esecuzione delle migrazioni dei temi (25564)
• Tipo di input intero per le impostazioni del sito (25488)

Modifiche all’esperienza utente

• Correggere il CSS dello spinner video (25770)
• Regolare il CSS del pulsante di riproduzione (25754)

Modifiche alla sicurezza

• Limitare la lunghezza dei parametri degli inviti
• Aggiungere limiti di velocità per i caricamenti
• Generare più CSS delle categorie lato client
• Prevenire che grandi azioni del personale causino DoS
• Non rivelare l’esistenza di sottocategorie segrete