PT-2024-27341 · Discourse+1 · Discourse+1

0Xmokusou

Publicado

2024-07-03

Atualizado

2024-09-18

CVE-2024-37157

CVSS v3.1

6.4

Média

Vetor

AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:L/A:L

Nome do software vulnerável e versões afetadas

Versões do Discourse anteriores à 3.2.3 no ramo estável

Versões do Discourse anteriores à 3.3.0.beta4 nos ramos beta e tests-passed

Descrição

O Discourse é uma plataforma de discussão de código aberto. Um agente mal-intencionado poderia fazer com que a biblioteca FastImage redirecionasse solicitações para um endereço IP interno do Discourse.

Recomendações

Para versões do Discourse anteriores à 3.2.3 no ramo estável, atualize para a versão 3.2.3 ou posterior.

Para versões do Discourse anteriores à 3.3.0.beta4 nos ramos beta e tests-passed, atualize para a versão 3.3.0.beta4 ou posterior.

Exploit

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

BIT-DISCOURSE-2024-37157

CVE-2024-37157

GHSA-46PQ-7958-FC68

Produtos afetados

Discourse

Fastimage

PT-2024-27341 · Discourse+1 · Discourse+1

CVE-2024-37157

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9