CVE-2024-56328

Nome do Software Vulnerável e Versões Afetadas Discourse (versões afetadas não especificadas)

Descrição A vulnerabilidade permite que um atacante execute código JavaScript arbitrário nos navegadores dos usuários ao postar uma URL Onebox maliciosamente elaborada. Este problema afeta apenas sites com a Política de Segurança de Conteúdo (CSP) desativada. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais onde essa vulnerabilidade foi explorada. Os detalhes técnicos sobre a exploração incluem o uso de uma URL Onebox maliciosa para executar código JavaScript arbitrário.

Recomendações Para todas as versões afetadas, atualize para a versão mais recente do Discourse para resolver o problema. Como solução temporária, considere habilitar a CSP, desativar Oneboxes inline globalmente ou permitir domínios específicos para Oneboxing até que o problema seja resolvido.