PT-2022-20469 · Discourse · Discourse
Lowjomaxro
·
Publicado
2022-06-03
·
Atualizado
2025-10-14
·
CVE-2022-31025
CVSS v2.0
5.0
Média
| Vetor | AV:N/AC:L/Au:N/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Discourse anteriores à 2.8.4 no ramo estável
Versões do Discourse anteriores à 2.9.0beta5 nos ramos beta e tests-passed
Descrição
A vulnerabilidade afeta o Discourse, uma plataforma de código aberto para discussões em comunidade. Convidar usuários em sites que utilizam autenticação única (single sign-on) poderia contornar a verificação
must approve users, e os convites enviados pela equipe são sempre aprovados automaticamente.Recomendações
Para versões anteriores à 2.8.4 no ramo estável, atualize para a versão 2.8.4 ou posterior.
Para versões anteriores à 2.9.0beta5 nos ramos beta e tests-passed, atualize para a versão 2.9.0beta5 ou posterior.
Como solução temporária, considere desativar os convites ou aumentar o valor de
min trust level to allow invite para reduzir a superfície de ataque a usuários mais confiáveis.Exploit
Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Discourse