CVE-2022-21684

Versões do Discourse anteriores à 2.7.13

Versão 2.8.0.beta11 do Discourse nos repositórios beta e tests-passed

A vulnerabilidade permite que alguns usuários façam login em uma comunidade antes de estarem autorizados a fazê-lo. Um usuário convidado por e-mail para um fórum com must approve users ativado pode contornar a verificação que impede usuários não aprovados de fazer login. Eles terão os mesmos privilégios de um usuário aprovado, mas não poderão fazer login novamente após se desconectarem.

Para versões anteriores à 2.7.13, atualize para a versão 2.7.13 ou posterior.

Para a versão 2.8.0.beta11 em beta e tests-passed, atualize para uma versão posterior.

Como solução alternativa temporária, considere desativar os convites ou aumentar min trust level to allow invite para reduzir a superfície de ataque a usuários mais confiáveis.