Lançamento Estável do Discourse 3.3.4
O Discourse recomenda fortemente que todos os sites sigam o branch padrão tests-passed do Discourse. O branch “stable” foca mais em falta de mudanças do que em falta de bugs - todas as versões, incluindo as de tests-passed e beta, estão prontas para produção.
Atualizações de Segurança
Esta versão inclui correções para estes problemas de segurança relatados por nossa comunidade e pela HackerOne.
- XSS através de títulos de tópicos quando o CSP está desativado (CVE-2024-53266)
- DoS parcial via oneboxes inline (CVE-2024-53851)
- Possível bypass de permissões de chat (CVE-2024-53994)
- Usuários podem ver PMs marcados de outros usuários (CVE-2024-56197)
- HTMLi (XSS sem CSP) via URLs Onebox (CVE-2024-56328)
- XSS armazenado baseado em DOM (sem CSP) via placeholders de vídeo (CVE-2025-22602)
- Envenenamento de cache anônimo via requisições XHR (CVE-2024-55948)
- Envenenamento de cache anônimo via cabeçalhos de requisição (CVE-2025-23023)