3.4.5 セキュリティ修正リリース

セキュリティアップデート

このリリースには、コミュニティおよびHackerOneから報告された以下のセキュリティ問題に対する修正が含まれています。

• Auto-executing third-party code in embedded CodePen iframe · Advisory · discourse/discourse · GitHub
• HTML injection when inviting to topic via email · Advisory · discourse/discourse · GitHub
• DoS via large URL payload in PM to a bot · Advisory · discourse/discourse · GitHub

さらに多くの機能！

しかし、待ってください、もっとあります！私たちは新機能や変更点を皆様に分かりやすくお伝えするよう最善を尽くしていますが、変更点が多すぎてすべてを詳細に説明することはできません。新機能、バグ修正、UX改善などの全リストについては、以下に記載されている追加機能と修正をご確認ください。

プラグインの改善

discourse-activity-pub

新機能

• カテゴリおよびタグのアクターのフォロワーとフォローの両方を全員が見れるようにする (223)
• アクターの削除を追加 (215)

UXの変更

• ActivityPubのトピックと投稿モーダルを改善 (224)

discourse-ai

新機能

• フォーラムリサーチャーからのアサインへのアクセスを許可 (1412)
• AIヘルパー機能を強化するために異なるペルソナを使用。
• リサーチャーにコンテキストとLLMコントロールを追加、ユーザー名フィルターを修正 (1401)
• 推論された概念システムを追加 (1330)
• カスタムツールでupload.getUrlをサポート (1384)
• ストリーミング実装を簡素化 - 最後の更新を急ぐ (1380)
• 投稿、トピック、カテゴリの自動翻訳とローカライズ (1376)

バグ修正

• フルネーム使用時のトピック要約プロンプトを改善 (1409)
• ツールオプションが追加された場合、それらが利用可能であるべき (1406)
• 会話サイドバーの上部に常に「今日」を表示 (1400)
• デスクトップで編集トピックが表示されない (1394)
• モバイルAI投稿ヘルパーの結果でスクロールできない (1396)
• 推論された概念に対する適切なデフォルトLLM検出 (1392)
• 全体的なセンチメントのエクスポートが失敗する (1388)
• Enumの処理は保存時にも行う必要がある (1386)
• カスタムツールがすべてのフィールドを誤って空のEnumに設定する (1385)
• 全ページ検索が壊れている (1383)
• ペルソナの例の長さを増やす (1377)

UXの変更

• RAGアップローダーとフォーム幅のスタイルの微調整 (1407)
• AIコンポーザーヘルパーの改良 (1387)

パフォーマンス

• .ai-debug-modal__tokensセレクターの最適化 (1390)

discourse-calendar

新機能

• ローカルタイムゾーンを表示 (735)
• recurrence_untilのサポート (730)
• イベントのオプションでチャットチャンネルを添付 (728)

バグ修正

• group-timezonesでのnbspの処理 (739)
• イベントの重複を防ぎ、正しい開始時刻を使用 (736)
• Chatプラグインへのハード依存を削除 (732)

UXの変更

• コピーの改善 (737)

discourse-data-explorer

UXの変更

• Category-id-input: カテゴリなしの選択を許可 (377)

discourse-oauth2-basic

UXの変更

• 管理設定プラグイン名を更新 (130)

discourse-policy

セキュリティの変更

• ポリシーグループメンバー (165)

discourse-saml

新機能

• グループ同期のための複数の属性を許可し、グループのフルネームも使用 (127)

すべての機能と修正

セキュリティの変更

• allowed_iframesでのより厳格なデフォルトのcodepen
• ボット人間PMでの最大長を尊重（安定版）
• メーラー用のトピックタイトルをエスケープ（安定版）