PT-2021-21813 · Discourse · Discourse

Tgxworld

Publicado

2021-08-13

Atualizado

2024-03-06

CVE-2021-37693

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Nome do software vulnerável e versões afetadas

Versões do Discourse anteriores à 2.7.8

Versões do Discourse anteriores à 2.8.0.beta4

Descrição

O problema diz respeito ao processo de verificação por e-mail no Discourse. Ao adicionar um endereço de e-mail adicional a uma conta existente, é gerado um token de e-mail. Se o endereço de e-mail adicional for excluído, o token não utilizado permanece válido e pode ser usado em outros contextos, como a redefinição de uma senha.

Recomendações

Para versões anteriores à 2.7.8, atualize para a versão 2.7.8 ou posterior para resolver o problema.

Para versões anteriores à 2.8.0.beta4, atualize para a versão 2.8.0.beta4 ou posterior para resolver o problema.

Correção

Insufficient Session Expiration

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-613CWE-640

Identificadores relacionados

BIT-DISCOURSE-2021-37693

CVE-2021-37693

GHSA-9377-96F4-CWW4

Produtos afetados

Discourse

PT-2021-21813 · Discourse · Discourse

CVE-2021-37693

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5