CVE-2022-46162
Discourse BBCode plugin vulnerable to arbitrary CSS injection
Em resumo
O plugin BBCode do Discourse não sanitiza adequadamente CSS em conteúdo gerado por usuários, permitindo injeção de estilos maliciosos que podem desfigurar páginas, roubar informações ou redirecionar visitantes. Afeta apenas sites com o plugin instalado.
Detalhe técnico
A vulnerabilidade permite injeção arbitrária de CSS durante a renderização de conteúdo processado pelo discourse-bbcode. Um atacante pode injetar folhas de estilo maliciosas através de marcação BBCode manipulada, potencialmente exfiltrando dados ou causando negação de serviço. O patch está disponível no commit 91478f5.
Resumo gerado e traduzido por IA a partir da descrição oficial.
discourse-bbcode is the official BBCode plugin for Discourse. Prior to commit 91478f5, CSS injection can occur when rendering content generated with the discourse-bccode plugin. This vulnerability only affects sites which have the discourse-bbcode plugin installed and enabled. This issue is patched in commit 91478f5. As a workaround, ensure that the Content Security Policy is enabled and monitor any posts that contain bbcode.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
discourse · discourse-bbcodeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →