Die beliebte Forensoftware Discourse wurde auf Version Version 3.5.0 beta6 aktualisiert. Das Update dass Anfang Juni veröffentlicht wurde schließt drei Sicherheitslücken die von Low bis High eingestuft werden und einen Angriff auf die Forensoftware ermöglichen. Weiterhin wurden Bugfixes in Plugins und dem Core durchgeführt.

Purwin-IT bietet Discourse mit zahlreichen Modulen in übersichtlichen und günstigen Hostingpaketen: https://www.purwin-it.de/webhosting/discourse

Discourse 3.5.0 beta6 Sicherheitsinfos

• [Low] - Auto-executing third-party code in embedded CodePen iframe (https://github.com/discourse/discourse/security/advisories/GHSA-cm93-6m2m-cjcv)
• [High] - HTML injection when inviting to topic via email (https://github.com/discourse/discourse/security/advisories/GHSA-x8mp-chx3-6x2p)
• [High] - DoS via large URL payload in PM to a bot (https://github.com/discourse/discourse/security/advisories/GHSA-3q5q-qmrm-rvwx)

Nachfolgend wesentliche Änderungen aus den Discourse Release Notes.

Discourse 3.5.0 beta6 Release Notes

Plugin-Verbesserungen

discourse-activity-pub

Neue Funktionen

• Allen erlauben, sowohl Follower als auch Follows von Kategorie- und Tag-Akteuren zu sehen (223)
• Akteur-Löschung hinzufügen (215)

UX-Änderungen

• ActivityPub-Themen- und Beitrags-Modals verbessern (224)

discourse-ai

Neue Funktionen

• Zugriff auf Zuweisungen vom Forumsforscher erlauben (1412)
• Verwende verschiedene Personas, um die KI-Helferfunktionen zu unterstützen.
• Kontext und LLM-Steuerelemente zum Forscher hinzufügen, Benutzernamenfilter korrigieren (1401)
• Inferred-Concepts-System hinzufügen (1330)
• upload.getUrl in benutzerdefinierten Tools unterstützen (1384)
• Streaming-Implementierung vereinfachen - letztes Update beschleunigen (1380)
• Automatische Übersetzung und Lokalisierung von Beiträgen, Themen, Kategorien (1376)

Fehlerbehebungen

• Eingabeaufforderung zur Zusammenfassung von Themen aktualisieren, um bei Verwendung vollständiger Namen besser zu funktionieren (1409)
• Wenn Tool-Optionen hinzugefügt werden, sollten sie verfügbar sein (1406)
• “Heute” immer oben in der Konversations-Seitenleiste anzeigen (1400)
• Edit-Topic ist auf dem Desktop nicht unsichtbar (1394)
• Auf mobilen KI-Beitragshilfe-Ergebnissen kann nicht gescrollt werden (1396)
• Korrekte Standard-LLM-Erkennung für abgeleitete Konzepte (1392)
• Exportieren der Gesamtstimmung schlägt fehl (1388)
• Enum-Behandlung muss auch beim Speichern erfolgen (1386)
• Benutzerdefinierte Tools setzen alle Felder fälschlicherweise auf leere Enum (1385)
• Vollständige Seitensuche defekt (1383)
• Länge der Persona-Beispiele erhöhen (1377)

UX-Änderungen

• Style-Anpassungen für RAG-Uploader und Formularbreite (1407)
• AI Composer Helper-Verfeinerungen (1387)

Performance

• Optimierung des Selektors .ai-debug-modal__tokens (1390)

discourse-calendar

Neue Funktionen

• Lokale Zeitzone anzeigen (735)
• Unterstützung für recurrence_until (730)
• Optionaler zugehöriger Chat-Kanal für Event (728)

Fehlerbehebungen

• Nbsp-Behandlung in Gruppen-Zeitzonen (739)
• Verhindert doppelte Events und verwendet korrekte starts_at (736)
• Entfernt harte Abhängigkeit vom Chat-Plugin (732)

UX-Änderungen

• Bessere Kopie (737)

discourse-data-explorer

UX-Änderungen

• Category-id-input: Ermöglicht Auswahl ohne Kategorie (377)

discourse-oauth2-basic

UX-Änderungen

• Aktualisierung des Plugin-Namens in den Admin-Einstellungen (130)

discourse-policy

Sicherheitsänderungen

• Policy-Gruppenmitglieder (165)

discourse-saml

Neue Funktionen

• Erlaube mehrere Attribute für die Gruppensynchronisierung und auch die Verwendung von group full_name (127)

Alle Funktionen und Fehlerbehebungen

Neue Funktionen

• Theme-eigene Farbpaletten (32795)
• Option zum Ändern der Größe von hinzufügen (33044)
• Anpassen der Standardzeitzone für E-Mails zulassen. (32964)
• Sprachumschalter für Anons anzeigen (32965)

Fehlerbehebungen- Falscher Link zu Gruppen im Post-Small-Action-Widget (33099)

• Kopfzeilen-Suchsymbol nicht anzeigen, wenn Willkommensbanner-Suche angezeigt wird (33098)
• Theme-Übersetzungen in IIFE umschließen (33108)
• Enkodierte Wörter in E-Mail-Adressen nicht zulassen (33083)
• Stellt sicher, dass der Text der Beitrags-Symbolleiste nicht ausgewählt werden kann (33075)
• Berücksichtigt die Kategorie-/Tag-Filterung für überprüfbare Webhooks (33051)
• Schließt reviewable_notes aus dem DB-Zwischenschema aus (33068)
• Neueste doppelte Gruppen zu Info-Komponenten (33003)
• Zurück zur Theme-Seite funktioniert nicht, wenn das Theme aktivierte Komponenten hat (33048)
• Verwendet Textauswahl, wenn Details ausgeblendet werden (33049)
• Wenn New New aktiviert ist, filtern Sie das Dismiss-Modal nach dem richtigen Typ (33037)
• Behandelt das Problem der Weiterleitung mit der Umschreibung der Seitenzahl der Kategorie-ID (33009)
• Stellt sicher, dass copy_data-Rückrufe auch dann ausgeführt werden, wenn alle Zeilen übersprungen werden (33002)
• Korrigiert die Maskierung des Titels für Amazon-Oneboxes (33010)
• Stellt das Textfarbfeld der Kategorie wieder her (32915)
• Verbesserungen für die Admin-Suche (33006)
• Die Themen-Zeitleiste auf dem Handy ist aufgrund der vollen Höhe nicht nutzbar (32986)
• Entfernt die Verschiebung, die nicht mehr notwendig ist (32979)
• Zusammengesetzte Primärschlüssel-Ausgabe (32972)

UX-Änderungen

• Füge eine * Erwähnung zur Beschreibung der Site-Einstellung hinzu
• Zeige nur einen Composer-Tipp gleichzeitig an (33050)
• Füge einen Z-Index zum Admin-Speichern-Alle-Banner hinzu (33093)
• Behebe den Breadcrumb-Link für Admin-Berichte (33085)
• Behalte Markierungen bei der Verwendung von Emoji-Eingaberegeln im Rich-Editor bei (33058)
• Füge eine Unterüberschrift zur Admin-Themes-Seite hinzu (32987)
• Rich-Editor [details] Caret Hover und Padding (33057)
• Aktualisiere die Mindestbreite von Theme-Karten (33045)
• Füge einen oberen Rand zum ersten Onebox im Thema hinzu (33054)
• Schnelle Themenbearbeitung (32941)
• Konsistentere Abstände im Suchmenü (33036)
• Onebox-Änderungen (33038)
• Stelle sicher, dass der Suchkontext beim Navigieren beibehalten wird (33016)
• Aktualisiere einige Löschbestätigungsdialoge (33018)
• Vermeide Layoutverschiebungen durch Anwesenheit (33022)
• Skaliere die Bearbeitungsgröße des Theme-Titels herunter (33021)
• Führe das Onebox-Experiment in den Kern zusammen (33015)
• Behebe den unteren Rand des aktiven Menüpunkts (33013)
• Wechsle zu einer regulären Variable für den Border-Radius (Eckenradius) (33011)
• Polieren von Rändern, Border-Radius (Eckenradius), Eingabe und Abständen (32995)
• Behebe die mobile Positionierung für bearbeitbaren Inhalt (Rich-Editor) (32993)
• Füge einen Hover-Zustand zu Theme-Karten hinzu (32980)
• Füge einen Abstand zu Seitenleistenelementen hinzu (32981)
• Verringere den Abstand zwischen Inhaltsbereichen in der Theme-Karten-Benutzeroberfläche (32977)
• Behebe das Padding (32973)
• Verbessere Farbbeschreibungen (32930)
• Behebe den Border-Radius (Eckenradius) bei Bildeingabe-Uploads (32935)

Sicherheitsänderungen

• Beachte die maximale Länge in Bot-Mensch-PMs
• Escape den Thementitel für Mailer

Performance

• Entferne ``

Barrierefreiheit

• SVG-Icons sollten ausgeblendet werden, es sei denn, es wird eine Beschriftung bereitgestellt (33059)

Alle Änderungen finden Sie in den Notes unter: https://meta.discourse.org/t/3-5-0-beta6-security-fixes-release/369346/1