PT-2026-5176 · Bitnami+2 · Discourse
Publicado
2026-01-28
·
Atualizado
2026-02-02
·
CVE-2025-66488
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Discourse versões anteriores a 3.5.4
Discourse versões anteriores a 2025.11.2
Discourse versões anteriores a 2025.12.1
Discourse versões anteriores a 2026.1.0
Descrição
Um problema existe na plataforma de discussão de código aberto que afeta usuários que utilizam S3 para uploads. Isso permite a execução de scripts, embora estejam restritos ao contexto do domínio S3/CDN e não possuam acesso às credenciais do site.
Recomendações
Atualize para a versão 3.5.4.
Atualize para a versão 2025.11.2.
Atualize para a versão 2025.12.1.
Atualize para a versão 2026.1.0.
Como medida paliativa temporária, desabilite arquivos html ou xml para uploads em
authorized extensions e exclua uploads de html ou xml existentes.Exploit
Correção
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Discourse