PT-2022-16890 · Discourse · Discourse
Nattsw
·
Publicado
2022-04-11
·
Atualizado
2024-03-06
·
CVE-2022-24804
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Discourse anteriores à 2.8.3
Versões beta do Discourse anteriores à 2.9.0.beta4
Descrição
O problema diz respeito à exposição indevida de grupos no Discourse, uma plataforma de código aberto para discussões em comunidade. Quando um grupo com visibilidade restrita é usado para definir as permissões de uma categoria, o nome do grupo é divulgado a qualquer usuário que possa ver a categoria.
Recomendações
Para versões anteriores à 2.8.3, um administrador do site pode remover grupos com visibilidade restrita das configurações de permissão de qualquer categoria como solução alternativa.
Para versões beta anteriores à 2.9.0.beta4, um administrador do site pode remover grupos com visibilidade restrita das configurações de permissão de qualquer categoria como solução alternativa.
Exploit
Correção
Incorrect Default Permissions
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Discourse