3.5.1: إصدار الأمان والصيانة

إصدار مستقر من Discourse 3.5.1

يوصي Discourse بشدة بأن تتبع جميع المواقع الفرع الافتراضي tests-passed الخاص بـ Discourse. يركز الفرع “stable” بشكل أكبر على عدم التغيير بدلاً من عدم وجود أخطاء - جميع الإصدارات، بما في ذلك تلك الموجودة على tests-passed وبيتا، جاهزة للإنتاج.

تحديثات الأمان

يتضمن هذا الإصدار إصلاحات لمشكلات الأمان هذه التي أبلغ عنها مجتمعنا و HackerOne.

• XSS when quoting chat messages via channel title and thread title in RTE · Advisory · discourse/discourse · GitHub
• Insecure Direct Object Reference via AI Suggestions · Advisory · discourse/discourse · GitHub
• Backup restore meta-command injection leading to cross-site data access in multisite environments · Advisory · discourse/discourse · GitHub

المزيد والمزيد!

ولكن انتظر، هناك المزيد! نحن نبذل قصارى جهدنا لتسليط الضوء على الميزات والتغييرات الجديدة لك، ولكن هناك دائمًا الكثير من التغييرات لتفصيلها. للحصول على قائمة كاملة بالميزات الجديدة وإصلاحات الأخطاء وتحسينات تجربة المستخدم والمزيد، تأكد من مراجعة الميزات والإصلاحات الإضافية المدرجة أدناه.

جميع الميزات والإصلاحات

إصلاحات الأخطاء

• تضمين عناوين URL لشروط الخدمة وسياسة الخصوصية عند التسجيل عندما يتطلب تسجيل الدخول… (34985)
• استبعاد حقول المستخدم غير النصية من فحص الكلمات الرئيسية (34651)
• التعامل مع اللون الداكن بأحرف صغيرة (34444)
• خطأ في ترحيل base_scheme_id عندما يكون الأساس افتراضيًا (34430)
• السماح بإنشاء لوحات ألوان جديدة بناءً على اللوحات المخصصة (34351)
• التأكيدات المطلوبة لا تظهر (مستقر) (34508)
• DiscourseConnect وإعدادات الموقع.auth_immediately = false (مستقر) (34443)
• دعم light-dark على المتصفحات القديمة (مستقر) (34441)
• استعادة الأنماط في مسار إنهاء التثبيت (34422)

تغييرات الأمان

• يجب أن تتحقق اقتراحات مساعد الذكاء الاصطناعي بناءً على موضوع ما مما إذا كان المستخدم لديه حق الوصول إليه
• ثغرة XSS في سجل الدردشة لمحرر Rich Editor
• استخدام قيود تعتمد على nonce أثناء الاستعادة