Discourse 3.3.4 Stable リリース
Discourse は、すべてのサイトが Discourse のデフォルトの tests-passed ブランチに従うことを強く推奨します。 「stable」ブランチは、「バグがない」ことよりも「変更がない」ことに重点を置いています。本番環境に対応しているのは、tests-passed や beta を含むすべてのリリースです。
セキュリティアップデート
このリリースには、コミュニティおよび HackerOne から報告された以下のセキュリティ問題に対する修正が含まれています。
- CSPが無効な場合のトピックタイトル経由のXSS (CVE-2024-53266)
- インラインonebox経由の部分的なDoS (CVE-2024-53851)
- チャット権限のバイパスの可能性 (CVE-2024-53994)
- ユーザーが他のユーザーのタグ付きPMを表示できる (CVE-2024-56197)
- Onebox URL経由のHTMLi (CSPなしのXSS) (CVE-2024-56328)
- 動画プレースホルダー経由の保存型DOMベースXSS (CSPなし) (CVE-2025-22602)
- XHRリクエスト経由の匿名キャッシュポイズニング (CVE-2024-55948)
- リクエストヘッダー経由の匿名キャッシュポイズニング (CVE-2025-23023)