CVE-2022-46162
Discourse BBCode plugin vulnerable to arbitrary CSS injection
En resumen
El plugin BBCode de Discourse no sanitiza adecuadamente CSS en contenido generado por usuarios, permitiendo inyección de estilos maliciosos que pueden desfigurar páginas, robar información o redirigir visitantes. Solo afecta sitios con el plugin instalado.
Detalle técnico
La vulnerabilidad permite inyección arbitraria de CSS durante la representación de contenido procesado por discourse-bbcode. Un atacante puede inyectar hojas de estilo maliciosas mediante marcado BBCode manipulado, potencialmente exfiltrando datos o causando denegación de servicio. La corrección está disponible en el commit 91478f5.
Resumen generado y traducido por IA a partir de la descripción oficial.
discourse-bbcode is the official BBCode plugin for Discourse. Prior to commit 91478f5, CSS injection can occur when rendering content generated with the discourse-bccode plugin. This vulnerability only affects sites which have the discourse-bbcode plugin installed and enabled. This issue is patched in commit 91478f5. As a workaround, ensure that the Content Security Policy is enabled and monitor any posts that contain bbcode.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
discourse · discourse-bbcode¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →