Version stable 3.3.4 de Discourse
Discourse recommande fortement à tous les sites de suivre la branche par défaut tests-passed de Discourse. La branche « stable » se concentre davantage sur l’absence de changement que sur l’absence de bugs - toutes les versions, y compris celles sur tests-passed et beta, sont prêtes pour la production.
Mises à jour de sécurité
Cette version inclut des correctifs pour les problèmes de sécurité suivants signalés par notre communauté et HackerOne.
- XSS via les titres de sujets lorsque le CSP est désactivé (CVE-2024-53266)
- Déni de service partiel via les onebox en ligne (CVE-2024-53851)
- Contournement potentiel des permissions de chat (CVE-2024-53994)
- Les utilisateurs peuvent voir les MP tagués d’autres utilisateurs (CVE-2024-56197)
- HTMLi (XSS sans CSP) via les URL Onebox (CVE-2024-56328)
- XSS stocké basé sur DOM (sans CSP) via les espaces réservés vidéo (CVE-2025-22602)
- Empoisonnement de cache anonyme via les requêtes XHR (CVE-2024-55948)
- Empoisonnement de cache anonyme via les en-têtes de requête (CVE-2025-23023)