Стабильный релиз Discourse 3.3.2
Discourse настоятельно рекомендует всем сайтам использовать ветку tests-passed по умолчанию. Ветка «stable» ориентирована скорее на минимальное количество изменений, чем на отсутствие ошибок — все выпуски, включая те, что находятся в ветках tests-passed и beta, готовы к использованию в production.
Обновления безопасности
Этот выпуск включает исправления следующих проблем безопасности, о которых сообщили участники нашего сообщества и HackerOne.
- Отказ в обслуживании (DoS) из-за отсутствия ограничений на ответы к сообщениям (CVE-2024-43789)
- Обход проверки адресов электронной почты через кодированные адреса (CVE-2024-45051)
- Предотвращение фильтрации списка тем по скрытым тегам для неавторизованных пользователей (CVE-2024-45297)
- XSS через фрагменты чата при отключённой CSP (CVE-2024-47772)
- Отравление анонимного кэша через XHR-запросы (CVE-2024-47773)