Vulnerabilidad en Discourse (CVE-2024-24827)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
15/03/2024
Última modificación:
26/08/2025
Descripción
Discourse es una plataforma de código abierto para el debate comunitario. Sin un límite de velocidad en el endpoint POST /uploads, a un atacante le resulta más fácil llevar a cabo un ataque DoS en el servidor, ya que crear una carga puede ser un proceso que consume muchos recursos. Tenga en cuenta que el impacto varía de un sitio a otro, ya que varias configuraciones del sitio, como `max_image_size_kb`, `max_attachment_size_kb` y `max_image_megapixels`, determinarán la cantidad de recursos utilizados al crear una carga. El problema está solucionado en la última versión estable, beta y probada de Discourse. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben reducir `max_image_size_kb`, `max_attachment_size_kb` y `max_image_megapixels` ya que las cargas más pequeñas requieren menos recursos para procesar. Alternativamente, `client_max_body_size` se puede reducir en Nginx para evitar que grandes cargas lleguen al servidor.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:* | 3.2.0 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:*:*:*:*:beta:*:*:* | 3.3.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/discourse/discourse/commit/003b80e62f97cd8c0114d6b9d3f93c10443e6fae
- https://github.com/discourse/discourse/security/advisories/GHSA-58vw-246g-fjj4
- https://github.com/discourse/discourse/commit/003b80e62f97cd8c0114d6b9d3f93c10443e6fae
- https://github.com/discourse/discourse/security/advisories/GHSA-58vw-246g-fjj4