41821
29.Июнь.2022 23:58:52
1
Здравствуйте,
Мы получили уведомление о том, что экземпляр Discourse уязвим согласно CVE: https://www.cve.org/CVERecord?id=CVE-2022-31096 .
Говорится, что исправление включено в версию 2.9.0.beta6, но я не могу найти и обновиться до этой версии. У кого-то ещё возникают подобные проблемы?
Benjamin_D
30.Июнь.2022 05:11:35
3
Вы правы, патч уже есть:
committed 10:32AM - 21 Jun 22 UTC
In certain situations, a logged in user can redeem an invite with an email that
… either doesn't match the invite's email or does not adhere to the email domain
restriction of an invite link. The impact of this flaw is aggrevated
when the invite has been configured to add the user that accepts the
invite into restricted groups.
но с тех пор версия не обновлялась
pfaffman
30.Июнь.2022 11:02:28
8
Вы можете выполнить обновление прямо сейчас, и этот коммит будет применён. Это не критическая проблема безопасности, поэтому они не увеличили версию для срочного выпуска.
Osama
04.Июль.2022 08:49:48
9
Мы обычно выпускаем бета-версию с исправлением критической уязвимости (CVE) вскоре после выхода патча, но в случае с последней уязвимостью (CVE-2022-31096) это было упущено. Мы выпустили версию 2.9.0.beta6 на прошлой неделе (в четверг), поэтому эта проблема теперь должна быть решена.
