41821
29 Giugno 2022, 11:58pm
1
Ciao,
Abbiamo ricevuto un avviso da questo CVE che un’istanza di discourse è vulnerabile a https://www.cve.org/CVERecord?id=CVE-2022-31096
Si dice che la correzione sia nella versione 2.9.0.beta6, ma non riesco a trovarla e ad aggiornarla a quella versione. Qualcun altro sta riscontrando questo problema?
Benjamin_D
30 Giugno 2022, 5:11am
3
Hai ragione, la patch è presente:
committed 10:32AM - 21 Jun 22 UTC
In certain situations, a logged in user can redeem an invite with an email that
… either doesn't match the invite's email or does not adhere to the email domain
restriction of an invite link. The impact of this flaw is aggrevated
when the invite has been configured to add the user that accepts the
invite into restricted groups.
ma non c’è stato alcun incremento di versione da allora
pfaffman
30 Giugno 2022, 11:02am
8
Puoi aggiornare ora e quel commit verrà applicato. Non è un problema di sicurezza critico, quindi non hanno aumentato la versione per rilasciarlo.
Osama
4 Luglio 2022, 8:49am
9
Eseguiamo un beta bump per una CVE ad alta gravità poco dopo il rilascio della correzione, ma abbiamo mancato di farlo per l’ultima CVE (CVE-2022-31096). Abbiamo rilasciato 2.9.0.beta6 la scorsa settimana (giovedì), quindi questo dovrebbe essere risolto ora.
