Zogstrip

**Nome do software vulnerável e versões afetadas** Versões do discourse-chat anteriores à 0.4 **Descrição** A vulnerabilidade afeta o plugin discourse-chat da aplicação Discourse, permitindo que um invasor que conheça o ID de uma mensagem de um canal ao qual não tem acesso visualize essa mensagem usando o endpoint de consulta de mensagens de chat. Isso afeta principalmente os canais de mensagens diretas. Não há soluções alternativas conhecidas para este problema. **Recomendações** Para versões anteriores à 0.4, atualize o plugin para a versão 0.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint de pesquisa de mensagens de chat até que o plugin possa ser atualizado.

**Nome do software vulnerável e versões afetadas** Versões do Discourse anteriores à 2.7.7 **Descrição** O Discourse é uma plataforma de discussão de código aberto. Existem dois bugs que levam à revelação do autor de uma postagem “whisper” a usuários que não fazem parte da equipe. O primeiro bug ocorre quando um usuário da equipe cria uma postagem “whisper” em uma mensagem pessoal, revelando o usuário da equipe aos participantes que não fazem parte da equipe da mensagem pessoal, mesmo que a postagem “whisper” não possa ser vista por eles. O segundo bug ocorre quando uma postagem “whisper” está antes da última postagem em um fluxo de postagens, e a exclusão da última postagem faz com que o autor da postagem “whisper” seja revelado a usuários que não fazem parte da equipe como o último autor do tópico. **Recomendações** Para versões anteriores à 2.7.7, atualize para a versão 2.7.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de mensagens secretas em mensagens pessoais e evitar a exclusão da última postagem em um fluxo de postagens para minimizar o risco de exploração.