Discourse 3.3.4 稳定版发布
Discourse 强烈建议所有站点遵循 Discourse 的默认 tests-passed 分支。 “stable” 分支更侧重于不变性而非无 bug——所有版本,包括 tests-passed 和 beta 版本,都已准备好投入生产。
安全更新
此版本包含对我们社区和 HackerOne 报告的以下安全问题的修复。
- 在 CSP 禁用时通过主题标题进行 XSS(CVE-2024-53266)
- 通过内联 onebox 进行部分 DoS(CVE-2024-53851)
- 可能绕过聊天权限(CVE-2024-53994)
- 用户可以看到其他用户的标记私信(CVE-2024-56197)
- 通过 Onebox URL 进行 HTML 注入(无 CSP 的 XSS)(CVE-2024-56328)
- 通过视频占位符进行存储型 DOM 型 XSS(无 CSP)(CVE-2025-22602)
- 通过 XHR 请求进行匿名缓存投毒(CVE-2024-55948)
- 通过请求头进行匿名缓存投毒(CVE-2025-23023)