Vulnerabilidad en Discourse (CVE-2022-46168)

Discourse es una plataforma de discusión de fuentes de opciones. Antes de la versión 2.8.14 en la rama "estable" y la versión 2.9.0.beta15 en las ramas "beta" y "pruebas aprobadas", los destinatarios de un correo electrónico SMTP grupal podían ver las direcciones de correo electrónico de todos los demás usuarios dentro del grupo. Tema SMTP. La mayoría de las veces esto no es un problema ya que probablemente ya estén familiarizados con las direcciones de correo electrónico de los demás. Este problema se solucionó en las versiones 2.8.14 y 2.9.0.beta15. La solución es que alguien que envía correos electrónicos a través de SMTP grupal a usuarios no preparados enmascara esos correos electrónicos con copia oculta (blind carbon copy, BCC). Los usuarios preparados son aquellos que probablemente solo han interactuado con el grupo a través de correo electrónico y probablemente incluirán a otras personas que recibieron CC en el correo electrónico original del grupo. Como workaround, deshabilite el SMTP de grupo para cualquier grupo que lo tenga habilitado.