Rilascio Stabile di Discourse 3.3.4
Discourse raccomanda vivamente a tutti i siti di seguire il branch predefinito tests-passed di Discourse. Il branch “stabile” è più focalizzato sulla mancanza di cambiamenti che sulla mancanza di bug: tutte le release, incluse quelle su tests-passed e beta, sono pronte per la produzione.
Aggiornamenti di Sicurezza
Questa release include correzioni per i seguenti problemi di sicurezza segnalati dalla nostra community e da HackerOne.
- XSS tramite titoli di topic quando CSP è disabilitato (CVE-2024-53266)
- DoS parziale tramite onebox inline (CVE-2024-53851)
- Possibile bypass dei permessi della chat (CVE-2024-53994)
- Gli utenti possono vedere i PM taggati di altri utenti (CVE-2024-56197)
- HTMLi (XSS senza CSP) tramite URL Onebox (CVE-2024-56328)
- XSS memorizzato basato su DOM (senza CSP) tramite segnaposto video (CVE-2025-22602)
- Avvelenamento della cache anonima tramite richieste XHR (CVE-2024-55948)
- Avvelenamento della cache anonima tramite header di richiesta (CVE-2025-23023)