PT-2022-23148 · Discourse · Discourse-Chat

Pmusaraj

·

Publicado

2022-09-06

·

Atualizado

2022-09-09

·

CVE-2022-36057

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Discourse-Chat anteriores à 0.9
Descrição
O problema afeta os usuários do Discourse Chat, um plugin de mensagens assíncronas para a plataforma de discussão de código aberto Discourse. Os usuários administradores podem inserir HTML nos títulos e descrições do chat, causando um ataque de Cross-Site Scripting (XSS).
Recomendações
Para versões anteriores à 0.9, atualize para a versão 0.9 para resolver o problema. Como solução temporária, considere restringir a capacidade dos usuários administradores de inserir HTML nos títulos e descrições do chat até que o patch seja aplicado.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-80CWE-79

Identificadores relacionados

CVE-2022-36057
GHSA-3VF2-WRJX-P6XJ

Produtos afetados

Discourse-Chat