Discourse 3.3.4 Stabile Veröffentlichung
Discourse empfiehlt dringend, dass alle Seiten dem Standard-Branch “tests-passed” von Discourse folgen. Der “stable”-Branch konzentriert sich mehr auf fehlende Änderungen als auf fehlende Fehler – alle Veröffentlichungen, einschließlich derer auf “tests-passed” und “beta”, sind produktionsreif.
Sicherheitsupdates
Diese Veröffentlichung enthält Korrekturen für diese Sicherheitsprobleme, die von unserer Community und HackerOne gemeldet wurden.
- XSS über Topic-Titel bei deaktiviertem CSP (CVE-2024-53266)
- Teilweises DoS über Inline-Oneboxen (CVE-2024-53851)
- Mögliche Umgehung von Chat-Berechtigungen (CVE-2024-53994)
- Benutzer können markierte PMs anderer Benutzer sehen (CVE-2024-56197)
- HTMLi (XSS ohne CSP) über Onebox-URLs (CVE-2024-56328)
- Gespeichertes DOM-basiertes XSS (ohne CSP) über Video-Platzhalter (CVE-2025-22602)
- Anonyme Cache-Vergiftung über XHR-Anfragen (CVE-2024-55948)
- Anonyme Cache-Vergiftung über Anforderungsheader (CVE-2025-23023)