Creo que el equipo de Discourse podría hacer un mejor trabajo en cuanto a la transparencia sobre los problemas de seguridad. El último solo menciona:
Esta versión beta incluye 1 corrección de seguridad para problemas reportados por nuestra comunidad y HackerOne 8.
- Preferir Loofah para procesar HTML cocinado
Y no pude encontrar dicho informe en HackerOne.
Lo ideal sería que la versión incluyera un enlace al informe de HackerOne y la gravedad del problema de seguridad en cuestión.
¡Hola @core!
La información sobre la corrección de seguridad es intencionalmente poco detallada. Los sitios se actualizan a diferentes velocidades; aunque queremos comunicar que hubo una corrección de seguridad, no queremos proporcionar detalles que permitan a actores maliciosos explotarla fácilmente. La corrección de seguridad se refleja en el mensaje del commit, por lo que siempre puedes consultar nuestro repositorio de GitHub para ver los commits de seguridad y revisar los cambios en el código si lo deseas.
No hacemos públicos nuestros informes de HackerOne. Aunque anteriormente permitíamos que los investigadores de seguridad solicitaran la divulgación de sus informes, debido al abuso que recibimos tras hacerlo en varias ocasiones, hemos discontinuado esa práctica.