Discourse 3.3.2 稳定版发布
Discourse 强烈建议所有站点都遵循 Discourse 的默认 tests-passed 分支。 “stable” 分支更侧重于缺乏更改而非缺乏 bug——所有版本,包括 tests-passed 和 beta 版本,都已准备好投入生产。
安全更新
此版本包括对我们社区和 HackerOne 报告的以下安全问题的修复。
- 通过对帖子回复无限制导致的服务拒绝攻击(DoS) (CVE-2024-43789)
- 通过编码的电子邮件地址绕过电子邮件地址验证 (CVE-2024-45051)
- 防止未经授权的用户通过隐藏标签过滤主题列表 (CVE-2024-45297)
- 当 CSP 被禁用时,通过聊天摘要进行的跨站脚本攻击(XSS) (CVE-2024-47772)
- 通过 XHR 请求进行的匿名缓存投毒 (CVE-2024-47773)