0-0Eth0

**Nome do software vulnerável e versões afetadas** Versões do Discourse Calendar anteriores à 0.4 **Descrição** A vulnerabilidade permite que convidados para eventos criados em categorias privadas ou mensagens privadas sejam acessados por qualquer pessoa, mesmo que não estejam conectados. Trata-se de um problema no plugin Discourse Calendar para a plataforma de discussão de código aberto Discourse. Não há solução alternativa conhecida, mas colocar o site atrás de `login required` pode impedir o uso desse endpoint por usuários anônimos. No entanto, usuários conectados ainda podem obter a lista de convidados em tópicos privados. **Recomendações** Para versões anteriores à 0.4, atualize para a versão 0.4 do plugin discourse-calendar para resolver o problema. Como solução alternativa temporária, considere colocar o site atrás de `login required` para impedir o uso do endpoint vulnerável por usuários anônimos.

**Nome do software vulnerável e versões afetadas** Discourse Calendar (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que usuários não convidados obtenham acesso a eventos privados criando uma solicitação para atualizar sua presença. Isso está relacionado ao recurso de calendário dinâmico na primeira postagem de um tópico no Discourse. **Recomendações** Como solução temporária, considere usar a visibilidade da postagem para limitar o acesso até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Discourse versions prior to 3.1.3 Discourse versions prior to 3.2.0.beta3 **Description** Discourse is an open source platform for community discussion. The issue affects the availability of subsequent replies in a topic when users can add svgs with unlimited `height` attributes. This is possible in some theme components, specifically the svgbob or the mermaid theme component. Most Discourse instances are unaffected. **Recommendations** For versions prior to 3.1.3, update to version 3.1.3 or later. For versions prior to 3.2.0.beta3, update to version 3.2.0.beta3 or later. As a temporary workaround, consider disabling or removing the relevant theme components, specifically the svgbob or the mermaid theme component.

**Name of the Vulnerable Software and Affected Versions** Discourse versions prior to 3.0.4 Discourse versions prior to 3.1.0.beta5 **Description** The issue is related to the lack of restrictions on the iFrame tag, which makes it easy for an attacker to exploit and hide subsequent comments from other users. **Recommendations** For versions prior to 3.0.4, update to version 3.0.4 or later. For versions prior to 3.1.0.beta5, update to version 3.1.0.beta5 or later.

**Name of the Vulnerable Software and Affected Versions** Discourse Mermaid (discourse-mermaid-theme-component) version 1.0.0 **Description** The issue allows users who can create posts to inject arbitrary HTML on that post, using the Mermaid syntax in Discourse, open-source forum software. **Recommendations** For version 1.0.0, update the theme component to version 1.1.0 through the admin UI to resolve the issue. As a temporary workaround, consider disabling the discourse-mermaid-theme-component until the update is applied.