3.2.1: Lançamento de correção de segurança e bugs

Lançamento Estável do Discourse 3.2.1

O Discourse recomenda fortemente que todos os sites sigam o branch padrão tests-passed do Discourse. O branch “stable” foca mais na ausência de mudanças do que na ausência de bugs - todas as versões, incluindo as de tests-passed e beta, estão prontas para produção.

Atualizações de Segurança

Esta versão inclui correções para os seguintes problemas de segurança reportados por nossa comunidade e pela HackerOne.

• Divulgação da existência de subcategorias secretas (CVE-2024-24748)
• DoS via Pixel Flood (CVE-2024-24827)
• DoS via convite - sem tamanho máximo de campo (CVE-2024-27085)
• DoS via Logs de Ações de Staff (CVE-2024-27100)
• Divulgação da existência de categorias secretas com fundos personalizados CVE-2024-28242

Ainda mais!

Mas espere, há mais! Fazemos o nosso melhor para destacar novos recursos e alterações para você, mas sempre há muitas mudanças para detalhar. Para uma lista completa de novos recursos, correções de bugs, melhorias de UX e muito mais, certifique-se de revisar os Recursos Adicionais e Correções listados abaixo.

Melhorias de plugins

discourse-activity-pub

Correções de bugs

• Garantir que as coleções de tópicos existam para atividades de full_topic (67)
• Usar o slugPath completo para recarregar categorias com permissões (65)
• Registro de falha no trabalho de entrega (64)

discourse-adplugin

Novos recursos

• Melhorar a compatibilidade do DFP / Ad-manager com Content-Security-Policy (201)

Correções de bugs

• Calcular ausência de anúncios para grupos no lado do servidor (200)
• Adicionar grupos de exclusão para cada plataforma de anúncios (197)

discourse-ai

Novos recursos

• Compartilhar conversas com IA por meio de uma URL (521)
• Pesquisa Semântica Rápida da IA (501)
• Adicionar persona e ferramentas do Assistente AI do GitHub (513)
• Suporte para claude opus e sonnet (508)
• Opção para que a triagem da IA envie uma postagem para a fila de revisão (498)
• Suporte ao assistente de IA em idiomas não ingleses (489)
• Lidar com uploads seguros na legenda da imagem (476)
• Legenda de imagem por IA (470)
• Nova persona Discourse Helper (473)
• Personas mencionáveis e ferramenta de seleção aleatória, limites de contexto (466)
• Permitir que personas forneçam os parâmetros top_p e temperature (459)
• Relatório de ajuste fino de LLM para seguir instruções mais de perto (451)

Correções de bugs

• Realce de sintaxe para conversões compartilhadas de IA com CSP ativado (532)
• Lidar com Unicode no tokenizador (515)
• Expirar ativos quando o CSS muda
• Tradução ausente na página de compartilhamento (528)
• Não mostrar a conversa compartilhada incorretamente (526)
• Filtrar tópicos excluídos logicamente ao preencher o sentimento (527)
• Ai-image-caption não deve travar ao verificar se currentUser pode usar o assistente (523)
• O recurso de legenda de imagem deve respeitar os grupos do assistente de IA do editor (522)
• Ajustar a chamada de função (519)
• Melhorar as entradas do editor de persona de IA e a autenticação opcional do GitHub (518)
• Impedir que títulos de threads de chat de IA sejam criados antes que as respostas sejam publicadas (517)
• Evitar todos os loops de feedback de bots (507)
• Backspace no prompt personalizado do editor fecha o menu (505)
• Persona do sistema em idioma não inglês salva, MPs de bot ausentes
• Suporte para múltiplas chamadas de ferramenta (502)
• Transmitir mensagens ao enviar MP diretamente para uma persona (500)
• Suporte a espaços dentro de argumentos para Open AI (499)
• Chamada de serviço do editor quebrando edições compartilhadas (494)
• Reduzir tamanho de truncamento para Embeddings do Gemini (493)
• Geração de imagem no Gemini estava quebrada (490)
• Legenda estava quebrada com múltiplas chamadas subsequentes (481)
• Impossível compartilhar conversas com usuário persona (479)
• Limpar resultados de busca de IA quando uma busca subsequente ocorre (469)
• Melhores títulos de threads de chat de IA (467)
• Usar um prompt dedicado para títulos de threads (464)
• Verificação explícita para string vazia na migração de compatibilidade (463)
• Ocultar tópicos relacionados quando o módulo está desativado (461)
• Erro de digitação causando falha em text_embedding_3_large (460)
• Melhorar a geração de embeddings (452)
• Adicionar nome da tabela para remover referência ambígua de coluna no SQL (449)

Mudanças de UX

• Adicionar sufixo de título às páginas de IA compartilhadas (531)
• Adicionar suporte para modo escuro (529)
• Atualizar estilos e marcação para o recurso de compartilhamento (525)
• Posicionamento do Assistente de IA (506)
• Ajustes menores no tamanho e comportamento da legenda de imagem (484)
• Ajustes menores no estilo da legenda de imagem (482)
• Adicionar descrições de configurações ausentes (465)
• Reintroduzir validações de configurações de embedding (457)
• Validar configurações de embeddings (455)

Mudanças de segurança

• Colocar proteção SSRF ao chamar serviços a partir do plugin. (485)

discourse-akismet

Correções de bugs

• Erro 500 ao editar um PostVotingComment (127)
• Tradução ausente para review_tl1_users_first_post_voting_comment (128)

discourse-automation

Novos recursos

• Permitir custom_fields ou user_fields no gatilho (253)
• Criação automatizada de postagem ao atualizar usuário (249)

Correções de bugs

• Atualizar como passamos valores para ModalJsonSchemaEditor (257)
• Formatar corretamente espaços reservados (255)
• Calcular próxima recorrência diária a partir de agora (248)

discourse-cakeday

Mudanças de UX

• Corrigir layout da página, limpar (123)

discourse-calendar

Novos recursos

• Usar novas opções de downloadCalendar (549)

Correções de bugs

• Edição de campo personalizado de evento não funcionava (550)
• Atualizar teste para ajustes de feriados (541)

Mudanças de segurança

• Ocultar convidados de usuários não autorizados a ver a postagem do evento (544)
• Não permitir autoconvite para eventos privados (543)

discourse-client-performance

Correções de bugs

• Usar o nome correto do plugin em PLUGIN_NAME

discourse-data-explorer

Novos recursos

• Adicionar tipo de parâmetro group_list (283)

discourse-global-filter

Correções de bugs

• Matriz de categoria vazia convertendo-a para glimmer (133)

discourse-group-membership-ip-block

Mudanças de segurança

• Não expor campos personalizados de outros plugins (13)

discourse-jira

Correções de bugs

• Atualizar campo jira para Component API. (61)
• Erro de digitação (58)

discourse-kolide

Novos recursos

• Nova caixa de seleção para marcar um dispositivo como móvel no onboarding (89)

discourse-math

Mudanças de UX

• Ocultar toast de carregamento do MathJax (78)

discourse-microsoft-auth

Mudanças de segurança

• E-mails do Microsoft não são verificados (72)

discourse-multilingual

Correções de bugs

• Testes falhando devido a i18n.default (3)

Mudanças de segurança

• Adicionar comprimento máximo ao campo personalizado content_languages

discourse-oauth2-basic

Novos recursos

• Permitir especificar caminhos obrigatórios ao recuperar informações do usuário (96)

discourse-post-voting

Correções de bugs

• Problemas na próxima página com rastreadores (193)

discourse-reactions

Novos recursos

• Contar todas as reações como curtidas, com exceções controladas por uma configuração do site (267)

Correções de bugs

• Parar de solicitar mais reações quando nenhuma existe (282)
• Não mostrar Curtidas no endpoint reactions-received (279)
• Visualizar reações de atividade de outros usuários (278)
• Chamada da função _allowHover() (277)
• Passar o mouse sobre o ícone de reação causando erro inundaria solicitações AJAX (274)
• Não mostrar usuários que reagiram sob o menu da postagem … (275)
• Não mostrar curtidas com reações na lista de likes-received (273)
• Lidar com user_id nulo da postagem para sincronização de UserAction (270)
• Exigir trabalho agendado ausente em plugin.rb (269)

discourse-solved

Correções de bugs

• Aninhar combobox dentro do elemento LI (280)

discourse-steam-login

Correções de bugs

• Estilo do botão e rótulo (79)

discourse-subscriptions

Correções de bugs

• Garantir exclusão do produto após confirmação (195)

discourse-templates

Novos recursos

• Adicionar link para o tópico de origem do modelo (70)

Correções de bugs

• Lentidão ao listar modelos e a categoria de modelos (67)

discourse-vk-auth

Mudanças de UX

• Melhorar o design do botão para combinar com outros logins (29)

Todos os recursos e correções

Novos recursos

• Gerar e exibir automaticamente imagem de pré-visualização de vídeo (25633)
• Configuração do site para incluir postagem em mensagens de penalidade (26026)

Correções de bugs

• Definir o fundo do vídeo como preto (25744)
• Adicionar uma borda ao redor do botão de reprodução do espaço reservado do vídeo (25727)
• Reprodução de vídeo no iOS (25513)
• Origem Webauthn estava incorreta para configurações de subpasta (#25651) (25654)
• Salvar corretamente convites de grupo (estável) (25567)
• Atualizar cache de JavaScript de temas após executar migrações de temas (25564)
• Tipo de entrada inteira da configuração do site (25488)

Mudanças de UX

• Corrigir o CSS do spinner de vídeo (25770)
• Ajustar o CSS do botão de reprodução (25754)

Mudanças de segurança

• Limitar o comprimento dos parâmetros de convite
• Adicionar limites de taxa para uploads
• Gerar mais CSS de categoria no cliente
• Impedir que grandes ações de equipe causem DoS
• Não divulgar a existência de subcategorias secretas