CVE-2021-41271
Cache poisoning via maliciously-formed request in discourse
Em resumo
Uma requisição especialmente preparada ao Discourse pode enganar proxies intermediárias para armazenar em cache páginas de erro, expondo potencialmente informações sensíveis para outros usuários que recebem a resposta em cache.
Detalhe técnico
Vulnerabilidade de envenenamento de cache no Discourse que permite a um atacante enviar uma requisição malformada causando uma resposta de erro que proxies intermediárias armazenam em cache e servem a usuários subsequentes. Isso resulta em divulgação de informações (CWE-200) quando páginas de erro em cache contêm dados sensíveis. O ataque requer apenas a capacidade de enviar requisições HTTP à aplicação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Discourse is a platform for community discussion. In affected versions a maliciously crafted request could cause an error response to be cached by intermediate proxies. This could cause a loss of confidentiality for some content. This issue is patched in the latest stable, beta and tests-passed versions of Discourse.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:L
Produtos afetados
discourse · discourseQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →