CVE-2022-31060
Banner topic data is exposed on login-required Discourse sites
En resumen
Discourse expone datos de tópicos de banner a usuarios no autenticados en sitios que requieren login. Un atacante puede acceder a información sensible del banner sin tener una cuenta o iniciar sesión.
Detalle técnico
Una vulnerabilidad de divulgación de información en Discourse anterior a la versión 2.8.4 (stable) y 2.9.0.beta5 (beta/tests-passed) permite a atacantes no autenticados recuperar metadatos de tópicos de banner mediante controles de acceso inadecuados. La vulnerabilidad requiere que el sitio objetivo tenga requisitos de login habilitados; la explotación resulta en la exposición de contenido de banner que debería estar restringido a usuarios autenticados.
Resumen generado y traducido por IA a partir de la descripción oficial.
Discourse is an open-source discussion platform. Prior to version 2.8.4 in the `stable` branch and version `2.9.0.beta5` in the `beta` and `tests-passed` branches, banner topic data is exposed on login-required sites. This issue is patched in version 2.8.4 in the `stable` branch and version `2.9.0.beta5` in the `beta` and `tests-passed` branches of Discourse. As a workaround, one may disable banners.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Productos afectados
discourse · discourse¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →