← voltar
CVE-2021-41082

Private message title and participating users leaked in discourse

CVSS 7.5 HIGHEPSS 1.7%CWE-200
Em resumo

Uma falha no Discourse expôs os títulos e nomes dos participantes de mensagens privadas que incluíam grupos para usuários não autorizados, embora o conteúdo das mensagens tenha permanecido protegido. Isso vazou informações sensíveis sobre quem estava se comunicando e sobre o que.

Detalhe técnico

Vulnerabilidade de divulgação de informações no sistema de mensagens privadas em grupos do Discourse, onde metadados (título e lista de participantes) foram inadvertidamente expostos nas caixas de entrada dos usuários apesar dos controles de acesso ao conteúdo das mensagens estarem intactos. O problema afetou versões com um commit específico que expôs metadados de PMs de grupo antes de ser revertido em 32 minutos; usuários devem atualizar para versões corrigidas ou o branch tests-passed mais recente.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Discourse is a platform for community discussion. In affected versions any private message that includes a group had its title and participating user exposed to users that do not have access to the private messages. However, access control for the private messages was not compromised as users were not able to view the posts in the leaked private message despite seeing it in their inbox. The problematic commit was reverted around 32 minutes after it was made. Users are encouraged to upgrade to the latest commit if they are running Discourse against the `tests-passed` branch.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
discourse · discourse

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/discourse/discourse/commit/27bad28c530c89acab35a56b945b6a3924280f4bhttps://github.com/discourse/discourse/commit/ddb458343dc39a7a8c99467dcd809b444514fe2chttps://github.com/discourse/discourse/security/advisories/GHSA-vm3x-w6jm-j9vv