PT-2022-15029 · Discourse · Discourse
Sqeezelemon
·
Publicado
2022-01-14
·
Atualizado
2024-03-06
·
CVE-2022-21677
CVSS v2.0
5.0
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Discourse anteriores à 2.7.13
Versões do Discourse anteriores à 2.8.0.beta11
Descrição
Foi descoberta uma vulnerabilidade no Discourse em que a opção de pesquisa avançada de grupos não respeita a visibilidade do grupo e o nível de visibilidade dos membros. Isso permite que um grupo com visibilidade restrita ou visibilidade dos membros seja revelado por meio da pesquisa com a opção de pesquisa correta. O problema diz respeito à configuração da visibilidade do grupo e dos membros, que pode ser definida como pública, restrita a usuários conectados, membros do grupo ou usuários da equipe.
Recomendações
Para versões anteriores à 2.7.13, atualize para a versão 2.7.13 ou posterior.
Para versões anteriores à 2.8.0.beta11, atualize para a versão 2.8.0.beta11 ou posterior.
Como não há uma solução alternativa temporária disponível, a atualização para as versões especificadas é a única forma de resolver este problema.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Discourse