PT-2022-20497 · Discourse · Discourse Calendar
Jomaxro
·
Publicado
2022-06-14
·
Atualizado
2022-06-23
·
CVE-2022-31059
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Discourse Calendar anteriores à 1.0.1
Descrição
O problema afeta o plugin Discourse Calendar para o Discourse, um aplicativo de mensagens de código aberto, no qual a análise e a renderização de nomes de eventos podem estar suscetíveis a ataques de script entre sites (XSS). Essa vulnerabilidade afeta apenas sites que modificaram ou desativaram a Política de Segurança de Conteúdo (CSP) padrão do Discourse.
Recomendações
Para versões anteriores à 1.0.1, atualize para a versão 1.0.1 do plugin Discourse Calendar para resolver o problema.
Como solução temporária, certifique-se de que a Política de Segurança de Conteúdo esteja ativada e não tenha sido modificada de forma a torná-la mais vulnerável a ataques XSS.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Discourse Calendar