Vulnerabilidad en Microsoft (CVE-2023-46241)

`discourse-microsoft-auth` es un complemento que permite la autenticación a través de Microsoft. En sitios con el complemento `discourse-microsoft-auth` habilitado, un ataque puede potencialmente tomar el control de la cuenta de Discourse de una víctima. Los sitios que han configurado el tipo de cuenta de su aplicación con cualquier opción distinta a "Cuentas solo en este directorio organizacional (solo O365 - Inquilino único)" son vulnerables. Esta vulnerabilidad ha sido parcheada en el commit c40665f44509724b64938c85def9fb2e79f62ec8 de `discourse-microsoft-auth`. También se agregó una tarea de rake `microsoft_auth:revoke` que desactivará y cerrará sesión a todos los usuarios que hayan conectado sus cuentas a Microsoft. También se revocarán las claves API de usuario, así como las claves API creadas por esos usuarios. La tarea de rake también eliminará los registros de conexión a Microsoft para esos usuarios. Esto permitirá a los usuarios afectados volver a verificar los correos electrónicos de sus cuentas y volver a conectar su cuenta de Discourse a Microsoft para su autenticación. Como workaround, deshabilite el complemento `discourse-microsoft-auth` estableciendo la configuración del sitio `microsoft_auth_enabled` en `false`. Ejecute la tarea de rake `microsoft_auth:log_out_users` para cerrar la sesión de todos los usuarios con cuentas de Microsoft asociadas.