PT-2024-23860 · Discourse · Discourse-Reactions
Lillinator
·
Publicado
2024-04-15
·
Atualizado
2024-04-15
·
CVE-2024-31219
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Discourse-reactions (versões afetadas não especificadas)
Descrição
A vulnerabilidade diz respeito ao plugin Discourse-reactions, que permite aos usuários adicionar reações às publicações. Quando os sussurros estão habilitados em um site por meio da variável
whispers allowed groups e reações são feitas em sussurros em tópicos públicos, o conteúdo do sussurro e os dados da reação são expostos no endpoint da API “/u/:username/activity/reactions”.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Discourse-Reactions