CVE-2025-48877

Nome do Software Vulnerável e Versões Afetadas Versões do Discourse anteriores a 3.4.4 Versão 3.5.0.beta5 do Discourse e anteriores da branch beta Versão 3.5.0.beta6-dev do Discourse e anteriores da branch tests-passed

Descrição O Discourse é uma plataforma de discussão de código aberto. Em versões anteriores às corrigidas, o Codepen está presente na configuração padrão do site allowed iframes e pode potencialmente executar automaticamente código JavaScript arbitrário no escopo do iframe, o que não é intencional.

Recomendações Para versões do Discourse anteriores a 3.4.4, atualize para a versão 3.4.4 ou posterior. Para a versão 3.5.0.beta5 do Discourse e anteriores da branch beta, atualize para uma versão posterior a 3.5.0.beta5. Para a versão 3.5.0.beta6-dev do Discourse e anteriores da branch tests-passed, atualize para uma versão posterior a 3.5.0.beta6-dev. Como medida de contorno temporária para todas as versões afetadas, considere remover o prefixo Codepen da configuração allowed iframes do site para minimizar o risco de exploração.