CVE-2022-39232
Discourse vulnerable to incomplete quote causing a topic to crash in the browser
Em resumo
Uma citação malformada no Discourse pode causar um erro JavaScript que deixa a página do navegador indisponível, afetando a experiência do usuário. Isso ocorre nas versões 2.9.0.beta5 até 2.9.0.beta9 da plataforma aberta de discussão.
Detalhe técnico
Vulnerabilidade CWE-20 (Validação Inadequada de Entrada) no Discourse onde aspas incompletas não passam pela validação e geram um erro JavaScript não tratado, causando negação de serviço no cliente. O vetor de ataque requer capacidade de postar ou editar conteúdo com aspas malformadas; a versão 2.9.0.beta10+ inclui correções de validação para prevenir esse travamento.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Discourse is an open source discussion platform. Starting with version 2.9.0.beta5 and prior to version 2.9.0.beta10, an incomplete quote can generate a JavaScript error which will crash the current page in the browser in some cases. Version 2.9.0.beta10 added a fix and tests to ensure incomplete quotes won't break the app. As a workaround, the quote can be fixed via the rails console.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
discourse · discourseQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →