CVE-2025-48062

Nome do Software Vulnerável e Versões Afetadas Versões do Discourse anteriores à 3.4.4 Versão 3.5.0.beta5 do Discourse e anteriores da branch beta Versão 3.5.0.beta6-dev do Discourse e anteriores da branch tests-passed

Descrição O problema envolve injeção de HTML no corpo dos e-mails quando o título do tópico contém HTML, afetando determinados convites por e-mail. Isso inclui convidar alguém sem conta para uma mensagem privada ou um tópico com uma mensagem personalizada.

Recomendações Para versões anteriores à 3.4.4, atualize para a versão 3.4.4 ou posterior. Para a versão 3.5.0.beta5 e anteriores da branch beta, atualize para a versão 3.5.0.beta5 ou posterior. Para a versão 3.5.0.beta6-dev e anteriores da branch tests-passed, atualize para a versão 3.5.0.beta6-dev ou posterior. Como solução temporária, considere sobrescrever os templates relevantes sem {topic title} para prevenir a injeção de HTML.