PT-2024-21649 · Discourse · Discourse
Nattsw
·
Publicado
2024-03-15
·
Atualizado
2024-04-01
·
CVE-2024-27100
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Discourse anteriores às versões estáveis, beta e aprovadas em testes mais recentes
Descrição
O problema afeta os endpoints para suspender usuários, silenciar usuários e exportar arquivos CSV, que não impõem limites aos tamanhos dos parâmetros que aceitam. Isso pode levar ao consumo excessivo de recursos, tornando uma instância inoperante. Um site pode ser prejudicado por um moderador mal-intencionado no mesmo site ou por um membro da equipe mal-intencionado em outro site no mesmo cluster multisite.
Recomendações
Atualize para a versão estável, beta ou aprovada em testes mais recente do Discourse para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso aos endpoints para suspender usuários, silenciar usuários e exportar arquivos CSV, a fim de minimizar o risco de exploração.
Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Discourse