Lillinator

**Nome do Software Vulnerável e Versões Afetadas** Versões do plugin Discourse Policy anteriores a 0.1.1 **Descrição** O problema diz respeito ao plugin Discourse Policy, que permite confirmar se os usuários visualizaram ou realizaram algo. Antes da versão 0.1.1, se uma política fosse publicada em um tópico público vinculado a um grupo privado, os membros do grupo poderiam ficar visíveis para não membros do grupo. **Recomendações** Para versões anteriores a 0.1.1, atualize para a versão 0.1.1 para resolver o problema. Como solução alternativa temporária, considere mover qualquer tópico de política com grupos privados para categorias restritas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Plugin Discourse Code Review anteriores ao commit eed3a80 **Descrição** A vulnerabilidade permite que um atacante execute JavaScript arbitrário nos navegadores dos usuários ao postar links para commits maliciosos do GitHub. Este é um problema no Plugin Discourse Code Review, que permite aos usuários revisar commits do GitHub no Discourse. **Recomendações** Para versões anteriores ao commit eed3a80, atualize para uma versão que inclua o commit eed3a80 para resolver o problema. Como solução temporária, considere desativar o Plugin Discourse Code Review até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Plugin Discourse-reactions (versões afetadas não especificadas) **Descrição** A vulnerabilidade diz respeito ao plugin Discourse-reactions, que permite aos usuários adicionar reações às publicações. Quando os sussurros estão habilitados em um site por meio da variável `whispers allowed groups` e reações são feitas em sussurros em tópicos públicos, o conteúdo do sussurro e os dados da reação são expostos no endpoint da API “/u/:username/activity/reactions”. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do discourse-ai anteriores ao commit 94ba0dadc2cf38e8f81c3936974c167219878edd **Descrição** O plugin discourse-ai para a plataforma de discussão de código aberto Discourse é afetado por uma falha em que as interações com diferentes serviços de IA são vulneráveis a ataques SSRF iniciados por administradores. **Recomendações** Para versões anteriores ao commit 94ba0dadc2cf38e8f81c3936974c167219878edd, atualize para uma versão que inclua o commit 94ba0dadc2cf38e8f81c3936974c167219878edd para resolver o problema. Como solução temporária, considere desativar o plugin discourse-ai até que uma versão corrigida seja instalada.

**Nome do software vulnerável e versões afetadas** Versões do Discourse anteriores à 3.1.4 Versões do Discourse anteriores à 3.2.0.beta4 **Descrição** O Discourse é uma plataforma para discussões em comunidade. Em circunstâncias muito específicas, URLs de upload seguras associadas a publicações podem ser acessadas por usuários convidados, mesmo quando é necessário fazer login. **Recomendações** Para versões anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior para resolver o problema. Para versões anteriores à 3.2.0.beta4, atualize para a versão 3.2.0.beta4 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Discourse anteriores à 3.1.4 Versões do Discourse anteriores à 3.2.0.beta4 **Descrição** O Discourse é uma plataforma para discussões em comunidade. Nos campos editáveis pelo usuário, não são impostos limites de tamanho. Isso permite que um agente mal-intencionado faça com que uma instância do Discourse utilize espaço em disco excessivo e, muitas vezes, largura de banda excessiva. **Recomendações** Para versões anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior para resolver o problema. Para versões anteriores à 3.2.0.beta4, atualize para a versão 3.2.0.beta4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o tamanho dos campos editáveis pelo cliente para evitar o uso excessivo de espaço em disco e largura de banda.