PT-2021-23075 · Discourse · Discourse
Tgxworld
·
Publicado
2021-09-20
·
Atualizado
2024-01-31
·
CVE-2021-41082
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Discourse anteriores ao último commit
Descrição
O Discourse é uma plataforma para discussões comunitárias. Nas versões afetadas, qualquer mensagem privada que incluísse um grupo tinha seu título e os usuários participantes expostos a usuários que não tinham acesso às mensagens privadas. No entanto, o controle de acesso às mensagens privadas não foi comprometido, pois os usuários não conseguiam visualizar as postagens na mensagem privada vazada, apesar de vê-la em sua caixa de entrada. O commit problemático foi revertido cerca de 32 minutos após ter sido feito.
Recomendações
Atualize para o commit mais recente se estiver executando o Discourse na ramificação
tests-passed.Correção
Incorrect Authorization
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Discourse