41821
29 Junio, 2022 23:58
1
Hola,
Hemos recibido una alerta de esta CVE de que una instancia de Discourse es vulnerable a https://www.cve.org/CVERecord?id=CVE-2022-31096
Se dice que la solución está en la versión 2.9.0.beta6, pero no puedo encontrarla ni actualizarme a esa versión. ¿Alguien más tiene este problema?
Benjamin_D
30 Junio, 2022 05:11
3
Tienes razón, el parche está ahí:
committed 10:32AM - 21 Jun 22 UTC
In certain situations, a logged in user can redeem an invite with an email that
… either doesn't match the invite's email or does not adhere to the email domain
restriction of an invite link. The impact of this flaw is aggrevated
when the invite has been configured to add the user that accepts the
invite into restricted groups.
pero no ha habido ningún aumento de versión desde entonces
pfaffman
30 Junio, 2022 11:02
8
Puedes actualizar ahora y ese commit se aplicará. No es un problema crítico de seguridad, por lo que no aumentaron la versión para publicarlo.
Osama
4 Julio, 2022 08:49
9
Hacemos un “beta bump” para una CVE de alta gravedad poco después de que se publique la corrección, pero omitimos hacerlo para la última CVE (CVE-2022-31096). Lanzamos 2.9.0.beta6 la semana pasada (jueves), así que esto debería estar resuelto ahora.
