PT-2024-21637 · Discourse · Discourse
Nattsw
·
Publicado
2024-03-15
·
Atualizado
2025-08-26
·
CVE-2024-27085
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Discourse anteriores à versão mais recente
Descrição
A vulnerabilidade afeta o Discourse, uma plataforma de código aberto para discussões em comunidade. Usuários com permissão para convidar outras pessoas podem injetar dados de tamanho arbitrariamente grande nos parâmetros utilizados na rota de convite.
Recomendações
Para versões anteriores à versão mais recente, atualize para a versão mais recente.
Como solução temporária para usuários que não possam atualizar, considere desativar os convites ou restringir o acesso a eles usando a configuração do site
invite allowed groups.Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Discourse