Versión Estable 3.3.4 de Discourse
Discourse recomienda encarecidamente que todos los sitios sigan la rama por defecto tests-passed de Discourse. La rama “stable” se centra más en la ausencia de cambios que en la ausencia de errores: todas las versiones, incluidas las de tests-passed y beta, están listas para producción.
Actualizaciones de Seguridad
Esta versión incluye correcciones para estos problemas de seguridad reportados por nuestra comunidad y por HackerOne.
- XSS a través de títulos de temas cuando CSP está deshabilitado (CVE-2024-53266)
- DoS parcial a través de oneboxes en línea (CVE-2024-53851)
- Posible omisión de permisos de chat (CVE-2024-53994)
- Los usuarios pueden ver los PM etiquetados de otros usuarios (CVE-2024-56197)
- HTMLi (XSS sin CSP) a través de URLs de Onebox (CVE-2024-56328)
- XSS almacenado basado en DOM (sin CSP) a través de marcadores de posición de video (CVE-2025-22602)
- Envenenamiento anónimo de caché a través de solicitudes XHR (CVE-2024-55948)
- Envenenamiento anónimo de caché a través de encabezados de solicitud (CVE-2025-23023)