PT-2025-4590 · Discourse · Discourse
Taisehub
·
Publicado
2025-02-04
·
Atualizado
2025-09-26
·
CVE-2025-22602
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L |
Nome do Software Vulnerável e Versões Afetadas
Versões do Discourse anteriores à versão mais recente
Descrição
O Discourse é uma plataforma de código aberto para discussão em comunidade. Nas versões afetadas, um invasor pode executar JavaScript arbitrário nos navegadores dos usuários ao postar um elemento HTML malicioso de placeholder de vídeo. Este problema afeta apenas sites com CSP desativado.
Recomendações
Para versões anteriores à versão mais recente, atualize para a versão mais recente para resolver o problema.
Como solução alternativa temporária para usuários impossibilitados de atualizar, habilite o CSP para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Discourse