Sqeezelemon

**Name of the Vulnerable Software and Affected Versions** Discourse versions prior to 2.8.14 on the stable branch Discourse versions prior to 3.0.0.beta16 on the beta and tests-passed branches **Description** The issue exposes the number of times a user posted in an arbitrary topic to unauthorized users through the "/u/username.json" endpoint. **Recommendations** For versions prior to 2.8.14 on the stable branch, update to version 2.8.14 to resolve the issue. For versions prior to 3.0.0.beta16 on the beta and tests-passed branches, update to version 3.0.0.beta16 to resolve the issue. As a temporary workaround, consider restricting access to the "/u/username.json" endpoint until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Versões 2.8.13 e anteriores do Discourse Versões 2.9.0.beta14 e anteriores do Discourse **Descrição** O Discourse é uma plataforma de discussão de código aberto na qual qualquer usuário autenticado pode criar um tópico não listado, o que pode consumir recursos desnecessários do site. **Recomendações** Para as versões 2.8.13 e anteriores, atualize para uma versão posterior à 2.8.13. Para as versões 2.9.0.beta14 e anteriores, atualize para uma versão posterior à 2.9.0.beta14. Como solução temporária, considere restringir a capacidade de criar tópicos não listados para usuários autenticados até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Discourse-calendar (versões afetadas não especificadas) **Descrição** O plugin Discourse-calendar para a plataforma de mensagens Discourse é afetado por uma falha que permite aos usuários listar membros de grupos privados ou de grupos públicos com membros privados, além de criar e editar eventos de postagem. Essa falha afeta apenas sites com eventos de postagem do Discourse habilitados. A falha foi corrigida em um commit, que será incluído em versões futuras. **Recomendações** Para mitigar totalmente a falha, os usuários que não puderem atualizar devem desativar a configuração `discourse post event enabled`. Como solução temporária, é possível impedir que usuários comuns explorem essa vulnerabilidade removendo todos os grupos da configuração `discourse post event allowed on groups`, mas observe que os moderadores ainda poderão usá-la.

**Nome do software vulnerável e versões afetadas** Versões do Discourse anteriores à 2.7.13 Versões do Discourse anteriores à 2.8.0.beta11 **Descrição** Foi descoberta uma vulnerabilidade no Discourse em que a opção de pesquisa avançada de grupos não respeita a visibilidade do grupo e o nível de visibilidade dos membros. Isso permite que um grupo com visibilidade restrita ou visibilidade dos membros seja revelado por meio da pesquisa com a opção de pesquisa correta. O problema diz respeito à configuração da visibilidade do grupo e dos membros, que pode ser definida como pública, restrita a usuários conectados, membros do grupo ou usuários da equipe. **Recomendações** Para versões anteriores à 2.7.13, atualize para a versão 2.7.13 ou posterior. Para versões anteriores à 2.8.0.beta11, atualize para a versão 2.8.0.beta11 ou posterior. Como não há uma solução alternativa temporária disponível, a atualização para as versões especificadas é a única forma de resolver este problema.