Стабильный релиз Discourse 3.3.4
Discourse настоятельно рекомендует всем сайтам использовать ветку tests-passed по умолчанию. Ветка «stable» больше ориентирована на отсутствие изменений, а не на отсутствие ошибок — все релизы, включая те, что находятся в ветках tests-passed и beta, готовы к использованию в продакшене.
Обновления безопасности
Это обновление включает исправления следующих проблем безопасности, сообщенных нашим сообществом и HackerOne.
- XSS через заголовки тем при отключенном CSP (CVE-2024-53266)
- Частичный DoS через встроенные oneboxes (CVE-2024-53851)
- Потенциальный обход разрешений чата (CVE-2024-53994)
- Пользователи могут видеть помеченные тегами личные сообщения других пользователей (CVE-2024-56197)
- HTMLi (XSS без CSP) через URL onebox (CVE-2024-56328)
- Сохраненный XSS на основе DOM (без CSP) через плейсхолдеры видео (CVE-2025-22602)
- Отравление анонимного кэша через XHR-запросы (CVE-2024-55948)
- Отравление анонимного кэша через заголовки запросов (CVE-2025-23023)