PT-2022-24923 · Discourse · Discourse Patreon Plugin+1
Jomaxro
·
Publicado
2022-10-26
·
Atualizado
2022-10-28
·
CVE-2022-39355
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Plugin Discourse Patreon (versões afetadas não especificadas)
Descrição
Uma falha de autenticação inadequada poderia ser explorada para assumir o controle da conta de fórum da vítima em sites com login do Patreon habilitado. Essa falha afeta a sincronização entre os Grupos do Discourse e as recompensas do Patreon. Como medida de precaução, as contas do Discourse que tenham feito login com uma conta do Patreon com e-mail não verificado serão desconectadas e solicitadas a verificar seu endereço de e-mail no próximo login.
Recomendações
Como solução temporária, considere desativar a integração com o Patreon e desconectar todos os usuários com contas associadas ao Patreon.
Atualize o plugin discourse-patreon para uma versão que inclua o número de commit da correção 846d012151514b35ce42a1636c7d70f6dcee879e.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Discourse
Discourse Patreon Plugin