41821
Junho 29, 2022, 11:58pm
1
Olá,
Recebemos um alerta desta CVE de que uma instância do Discourse é vulnerável a https://www.cve.org/CVERecord?id=CVE-2022-31096
Diz-se que a correção está na versão 2.9.0.beta6, mas não consigo encontrar e atualizar para essa versão. Mais alguém está tendo esse problema?
2 curtidas
Benjamin_D
Junho 30, 2022, 5:11am
3
Você está certo, o patch está lá:
committed 10:32AM - 21 Jun 22 UTC
In certain situations, a logged in user can redeem an invite with an email that
… either doesn't match the invite's email or does not adhere to the email domain
restriction of an invite link. The impact of this flaw is aggrevated
when the invite has been configured to add the user that accepts the
invite into restricted groups.
mas não houve nenhum aumento de versão desde então
1 curtida
pfaffman
Junho 30, 2022, 11:02am
8
Você pode atualizar agora e esse commit será aplicado. Não é um problema crítico de segurança, então eles não aumentaram a versão para lançá-lo.
4 curtidas
Osama
Julho 4, 2022, 8:49am
9
Fazemos um beta bump para uma CVE de alta gravidade logo após o lançamento da correção, mas deixamos de fazer isso para a última CVE (CVE-2022-31096). Lançamos a 2.9.0.beta6 na semana passada (quinta-feira), então isso deve ser resolvido agora.
4 curtidas
