CVE-2022-31060
Banner topic data is exposed on login-required Discourse sites
Em resumo
O Discourse expõe dados de tópicos de banner para usuários não autenticados em sites que exigem login. Um atacante pode acessar informações sensíveis do banner sem ter uma conta ou fazer login.
Detalhe técnico
Uma vulnerabilidade de divulgação de informações no Discourse anterior à versão 2.8.4 (stable) e 2.9.0.beta5 (beta/tests-passed) permite que atacantes não autenticados recuperem metadados de tópicos de banner através de controles de acesso inadequados. A vulnerabilidade requer que o site de destino tenha requisitos de login habilitados; a exploração resulta na exposição de conteúdo de banner que deveria ser restrito a usuários autenticados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Discourse is an open-source discussion platform. Prior to version 2.8.4 in the `stable` branch and version `2.9.0.beta5` in the `beta` and `tests-passed` branches, banner topic data is exposed on login-required sites. This issue is patched in version 2.8.4 in the `stable` branch and version `2.9.0.beta5` in the `beta` and `tests-passed` branches of Discourse. As a workaround, one may disable banners.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Produtos afetados
discourse · discourseQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →