Highjomaxro

**Name of the Vulnerable Software and Affected Versions** Discourse versions 3.1.0 through 3.1.2 Discourse versions 3.1.0,beta6 through 3.2.0.beta2 **Description** Discourse is an open source platform for community discussion. In the affected versions, Redis memory can be depleted by crafting a site with an abnormally long favicon URL and drafting multiple posts which Onebox it. **Recommendations** For Discourse versions 3.1.0 through 3.1.2, update to version 3.1.3 or later. For Discourse versions 3.1.0,beta6 through 3.2.0.beta2, update to version 3.2.0.beta3 or later.

**Name of the Vulnerable Software and Affected Versions** Discourse versions prior to 3.0.1 of the `stable` branch Discourse versions prior to 3.1.0.beta2 of the `beta` and `tests-passed` branches **Description** Discourse is an open-source discussion platform. A maliciously crafted URL can be included in a user's full name field to carry out cross-site scripting attacks on sites with a disabled or overly permissive Content Security Policy (CSP). Discourse's default CSP prevents this issue. **Recommendations** For versions prior to 3.0.1 of the `stable` branch, update to version 3.0.1 or later. For versions prior to 3.1.0.beta2 of the `beta` and `tests-passed` branches, update to version 3.1.0.beta2 or later. As a temporary workaround, enable and/or restore your site's CSP to the default one provided with Discourse.

**Name of the Vulnerable Software and Affected Versions** Discourse versions prior to 2.8.14 on the stable branch Discourse versions prior to 3.0.0.beta16 on the beta and tests-passed branches **Description** The issue concerns a cross-site scripting attack through pending post titles, which can be created by unprivileged users in categories requiring moderator approval. This can lead to a full XSS on sites with modified or disabled Content Security Policy. **Recommendations** For versions prior to 2.8.14 on the stable branch, update to version 2.8.14 or later. For versions prior to 3.0.0.beta16 on the beta and tests-passed branches, update to version 3.0.0.beta16 or later. As a temporary workaround, consider restricting the creation of pending posts in categories with the "require moderator approval of all new topics" setting set, until a patch is applied.

**Nome do software vulnerável e versões afetadas** Discourse (versões afetadas não especificadas) **Descrição** O problema afeta a plataforma de discussão de código aberto Discourse, na qual, em casos raros, usuários que aceitam um convite podem ser adicionados como participantes a vários tópicos de mensagens privadas aos quais não deveriam ter acesso, sem receberem qualquer notificação. Isso ocorre de forma transparente em segundo plano. **Recomendações** Para resolver o problema, recomenda-se que os usuários atualizem para uma versão futura que inclua a correção. Como solução temporária, considere definir `SiteSetting.max invites per day` como 0 até que o patch seja instalado.

**Nome do software vulnerável e versões afetadas** Versões do Discourse anteriores às versões estáveis, beta e aprovadas em testes mais recentes **Descrição** Um administrador mal-intencionado poderia explorar essa vulnerabilidade para realizar a enumeração de portas no host local ou em outros hosts da rede interna, bem como em hosts na Internet. **Recomendações** Para todas as versões anteriores às versões estáveis, beta e aprovadas em testes mais recentes, atualize para a versão mais recente para resolver a vulnerabilidade. Como solução alternativa temporária, usuários que hospedam o Discourse em seus próprios servidores podem usar a variável de ambiente `DISCOURSE BLOCKED IP BLOCKS` para impedir que os webhooks acessem IPs privados.