3.5.0.beta6 セキュリティ修正リリース

セキュリティアップデート

このリリースには、コミュニティおよびHackerOneから報告された以下のセキュリティ問題に対する修正が含まれています。

• Auto-executing third-party code in embedded CodePen iframe · Advisory · discourse/discourse · GitHub
• HTML injection when inviting to topic via email · Advisory · discourse/discourse · GitHub
• DoS via large URL payload in PM to a bot · Advisory · discourse/discourse · GitHub

さらに！

でも、まだあります！私たちは新しい機能や変更をできるだけ強調表示するように努めていますが、詳細をすべて記載するには変更が多すぎます。新しい機能、バグ修正、UX 改善などの完全なリストについては、以下に記載されている追加機能と修正を必ずご確認ください。

プラグインの改善

discourse-activity-pub

新機能

• カテゴリとタグのアクターに関するフォロワーとフォローを全員が見られるようにする (223)
• アクターの削除を追加 (215)

UX の変更

• ActivityPub のトピックと投稿モーダルの改善 (224)

discourse-ai

新機能

• フォーラムリサーチャーから割り当てにアクセスできるようにする (1412)
• 異なるペルソナを使用して AI ヘルパー機能を実装。
• リサーチャーにコンテキストと LLM 制御を追加し、ユーザー名フィルターを修正 (1401)
• 推論概念システムを追加 (1330)
• カスタムツールで upload.getUrl をサポート (1384)
• ストリーミング実装を簡素化 - 前回の更新を急ぐ (1380)
• 投稿、トピック、カテゴリの自動翻訳とローカライズ (1376)

バグ修正

• 完全な名前を使用する際にトピック要約プロンプトがより適切に動作するように更新 (1409)
• ツールオプションが追加された場合、それらが利用可能になるようにする (1406)
• 会話サイドバーの上部に常に「今日」を表示するようにする (1400)
• デスクトップで編集トピックが見えなくなる問題を修正 (1394)
• モバイルで AI 投稿ヘルパーの結果をスクロールできない問題を修正 (1396)
• 推論概念の適切なデフォルト LLM 検出 (1392)
• 全体的な感情の分析エクスポートが失敗する問題を修正 (1388)
• 列挙型の処理は保存時にも行う必要がある (1386)
• カスタムツールがすべてのフィールドを空の列挙型に誤って設定する問題を修正 (1385)
• 全文検索が機能しない問題を修正 (1383)
• ペルソナの例の長さを増加 (1377)

UX の変更

• RAG アップローダーとフォーム幅のスタイル調整 (1407)
• AI コンポーザーヘルパーの改善 (1387)

パフォーマンス

• .ai-debug-modal__tokens セレクターの最適化 (1390)

discourse-calendar

新機能

• ローカルタイムゾーンを表示 (735)
• recurrence_until のサポート (730)
• イベントにオプションでチャットチャンネルを添付 (728)

バグ修正

• group-timezones での Nbsp 処理 (739)
• イベントの重複を防止し、正しい starts_at を使用 (736)
• Chat プラグインとのハードな依存関係を削除 (732)

UX の変更

• より良いコピー (737)

discourse-data-explorer

UX の変更

• Category-id-input: カテゴリなしの選択を可能にする (377)

discourse-oauth2-basic

UX の変更

• 管理者設定のプラグイン名を更新 (130)

discourse-policy

セキュリティの変更

• ポリシーグループメンバー (165)

discourse-saml

新機能

• グループ同期に複数の属性を許可し、グループの full_name も使用できるようにする (127)

すべての機能と修正

新機能

• テーマ固有の色パレット (32795)
• <AceEditor /> のサイズ変更オプションを追加 (33044)
• メール用のデフォルトタイムゾーンのカスタマイズを許可 (32964)
• 匿名ユーザー向けに言語切り替えスイッチを表示 (32965)

バグ修正

• post-small-action ウィジェット内のグループへのリンクが誤っている問題を修正 (33099)
• ウェルカムバナーの検索が表示されている場合はヘッダーの検索アイコンを表示しないようにする (33098)
• テーマの翻訳を IIFE でラップ (33108)
• メールアドレスにエンコードされた単語を許可しないようにする (33083)
• 投稿ツールバーのテキストが選択できないようにする (33075)
• レビュー可能なウェブフックのカテゴリ/タグフィルタリングを尊重 (33051)
• reviewable_notes を中間 DB スキーマから除外 (33068)
• 最新グループを「About」コンポーネントに複製 (33003)
• テーマに有効なコンポーネントがある場合、テーマページに戻る機能が動作しない問題を修正 (33048)
• 詳細を隠す際にテキスト選択を使用するようにする (33049)
• 新しい通知が有効化された場合、モーダルを正しいタイプにフィルタリング (33037)
• categoryId の書き換えによるページ番号のリダイレクト問題を処理 (33009)
• すべて行がスキップされた場合でも copy_data コールバックが実行されるようにする (33002)
• Amazon 1 ボックスのタイトルを正しくアンエスケープ (33010)
• カテゴリのテキストカラーフィールドを復元 (32915)
• 管理者検索の改善 (33006)
• モバイルでのトピックタイムラインが全高のため使いにくい問題を修正 (32986)
• 不要になったシフトを削除 (32979)
• 複合主キーの出力 (32972)

UX の変更

• サイト設定の説明に * メンションを追加
• 一度に 1 つのコンポーザーヒントのみを表示 (33050)
• 管理者保存済みバナーに z-index を追加 (33093)
• 管理者レポートのパンくずリストリンクを修正 (33085)
• リッチエディターで絵文字入力ルールを使用する際にマークを保持 (33058)
• 管理者テーマページにサブヘッダーを追加 (32987)
• リッチエディターの [details] カーソルホバーとパディング (33057)
• テーマカードの最小幅を更新 (33045)
• トピック内の最初の 1 ボックスにマージントップを追加 (33054)
• 高速トピック編集 (32941)
• 検索メニューのスペースをより一貫性のあるものに (33036)
• 1 ボックスの変更 (33038)
• ナビゲーション時に検索コンテキストが保持されるようにする (33016)
• 一部の削除確認ダイアログを更新 (33018)
• プレゼンスレイアウトのシフトを回避 (33022)
• テーマタイトル編集サイズを縮小 (33021)
• 1 ボックス実験をコアにマージ (33015)
• アクティブなメニュー項目の下部ボーダーを修正 (33013)
• 通常のボーダー半径変数に移動 (33011)
• ボーダー、ボーダー半径、入力、スペースの磨き上げ (32995)
• コンテンツ編集可能（リッチエディター）のモバイル位置を修正 (32993)
• テーマカードにホバー状態を追加 (32980)
• サイドバー項目にギャップを追加 (32981)
• テーマカード UI のコンテンツセクション間のスペースを減少 (32977)
• パディングを修正 (32973)
• 色の説明を改善 (32930)
• 画像アップロード入力のボーダー半径を修正 (32935)

セキュリティの変更

• ボットと人間の PM での最大長を尊重
• メーラー用のトピックタイトルをエスケープ

パフォーマンス

• <details> ポリフィルを削除 (33020)

アクセシビリティ

• ラベルが提供されていない限り SVG アイコンを非表示にする (33059)