إصدار مستقر من Discourse 3.3.4
يوصي Discourse بشدة بأن تتبع جميع المواقع الفرع الافتراضي “tests-passed” من Discourse. يركز الفرع “stable” بشكل أكبر على عدم التغيير بدلاً من عدم وجود أخطاء - جميع الإصدارات، بما في ذلك تلك الموجودة على “tests-passed” و “beta” جاهزة للإنتاج.
تحديثات الأمان
يتضمن هذا الإصدار إصلاحات للقضايا الأمنية التالية التي أبلغ عنها مجتمعنا و HackerOne.
- ثغرة XSS عبر عناوين المواضيع عند تعطيل CSP (CVE-2024-53266)
- ثغرة حجب خدمة جزئي عبر oneboxes المضمنة (CVE-2024-53851)
- تجاوز محتمل لأذونات الدردشة (CVE-2024-53994)
- يمكن للمستخدمين رؤية رسائل PM الخاصة بالمستخدمين الآخرين المصنفة (CVE-2024-56197)
- HTMLi (XSS بدون CSP) عبر عناوين URL الخاصة بـ Onebox (CVE-2024-56328)
- ثغرة XSS مخزنة تستند إلى DOM (بدون CSP) عبر عناصر نائبة للفيديو (CVE-2025-22602)
- تسميم ذاكرة التخزين المؤقت المجهول عبر طلبات XHR (CVE-2024-55948)
- تسميم ذاكرة التخزين المؤقت المجهول عبر رؤوس الطلبات (CVE-2025-23023)