CVE-2021-41271
Cache poisoning via maliciously-formed request in discourse
En resumen
Una solicitud especialmente diseñada a Discourse puede engañar a proxies intermedios para almacenar en caché páginas de error, exponiendo potencialmente información sensible a otros usuarios que reciben la respuesta almacenada.
Detalle técnico
Vulnerabilidad de envenenamiento de caché en Discourse que permite a un atacante enviar una solicitud malformada que causa una respuesta de error que los proxies intermedios almacenan en caché y sirven a usuarios posteriores. Esto resulta en divulgación de información (CWE-200) cuando las páginas de error en caché contienen contenido sensible. El ataque requiere únicamente la capacidad de enviar solicitudes HTTP a la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
Discourse is a platform for community discussion. In affected versions a maliciously crafted request could cause an error response to be cached by intermediate proxies. This could cause a loss of confidentiality for some content. This issue is patched in the latest stable, beta and tests-passed versions of Discourse.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:L
Productos afectados
discourse · discourse¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →