PT-2022-24944 · Discourse · Discourse
Highjomaxro
·
Publicado
2022-11-14
·
Atualizado
2024-03-06
·
CVE-2022-39385
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Discourse (versões afetadas não especificadas)
Descrição
O problema afeta a plataforma de discussão de código aberto Discourse, na qual, em casos raros, usuários que aceitam um convite podem ser adicionados como participantes a vários tópicos de mensagens privadas aos quais não deveriam ter acesso, sem receberem qualquer notificação. Isso ocorre de forma transparente em segundo plano.
Recomendações
Para resolver o problema, recomenda-se que os usuários atualizem para uma versão futura que inclua a correção.
Como solução temporária, considere definir
SiteSetting.max invites per day como 0 até que o patch seja instalado.Exploit
Correção
Incorrect Authorization
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Discourse