Version stable 3.3.2 de Discourse
Discourse recommande fortement que tous les sites suivent la branche par défaut tests-passed de Discourse. La branche « stable » se concentre davantage sur l’absence de changements que sur l’absence de bugs - toutes les versions, y compris celles sur tests-passed et bêta, sont prêtes pour la production.
Mises à jour de sécurité
Cette version inclut des correctifs pour ces problèmes de sécurité signalés par notre communauté et HackerOne.
- Déni de service par l’absence de restrictions sur les réponses aux messages (CVE-2024-43789)
- Contournement de la validation des adresses e-mail via des adresses e-mail encodées (CVE-2024-45051)
- Empêcher le filtrage de la liste des sujets par des tags masqués pour les utilisateurs non autorisés (CVE-2024-45297)
- XSS via des extraits de chat lorsque le CSP est désactivé (CVE-2024-47772)
- Empoisonnement de cache anonyme via des requêtes XHR (CVE-2024-47773)