Vulnerabilidad en Discourse (CVE-2024-24817)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

22/02/2024

Última modificación:

05/02/2025

Descripción

Discourse Calendar agrega la capacidad de crear un calendario dinámico en la primera publicación de un tema en la plataforma de discusión de código abierto Discourse. Antes de la versión 0.4, cualquier persona puede recuperar los invitados a eventos creados en temas en categorías privadas o MP (mensajes privados), incluso si no han iniciado sesión. Este problema se resuelve en la versión 0.4 del complemento de calendario de discurso. Si bien no hay un workaround disponible, colocar el sitio detrás de `login_required` no permitirá que usuarios anónimos utilicen este endpoint, pero los usuarios que hayan iniciado sesión aún pueden obtener la lista de invitados en los temas privados.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno