有关 2026.6 版本中发布的所有更改的更多信息,请查看:
其他受支持版本的补丁版本也已发布:
有关 2026.6 版本中发布的所有更改的更多信息,请查看:
其他受支持版本的补丁版本也已发布:
上述安全补丁中提到的 CVE 似乎与 Discourse 无关。
以这个为例:
CVE-2026-46413 普通用户可以将多部分上传路由到管理员备份存储
它链接到这个 GHSA 条目:Regular users can route multipart uploads into the admin backup store · Advisory · discourse/discourse · GitHub
但 CVE-2026-46413 实际上是关于 BUFFALO 无线路由器的一个问题:NVD - CVE-2025-46413
CVE-2026-49256 通过分类序列化器泄露隐藏标签名称
GHSA 条目:Hidden tag names leaked via category serializers · Advisory · discourse/discourse · GitHub
但 CVE-2026-49256 是关于 PillarJS 的 path-to-regexp 中的一个 bug:NVD - CVE-2026-4926
虽然 Discourse 使用了它,但该 bug 描述的是 Ruby 端的问题。
CVE-2026-44787 注册时分配 primary_group_id 会授予 whisperer 权限
但 CVE-2026-44787 是关于 Apache APISIX 的:NVD - CVE-2026-44087
您的链接全都错了(它们指向了不同的编号)。我想我们的 CVE 尚未同步?
哦,真是服了……这搜索简直没用。怪我,我还真以为以前那样搜是管用的。(可能我还需要再喝点咖啡)