Vulnerabilidad en Discourse (CVE-2024-27100)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
15/03/2024
Última modificación:
26/08/2025
Descripción
Discourse es una plataforma de código abierto para el debate comunitario. En las versiones afectadas, los endpoints para suspender usuarios, silenciar usuarios y exportar archivos CSV no imponían límites en los tamaños de los parámetros que aceptaban. Esto podría provocar un consumo excesivo de recursos que podría dejar una instancia inoperable. Un sitio podría verse interrumpido por un moderador malintencionado en el mismo sitio o por un miembro del personal malicioso en otro sitio en el mismo clúster multisitio. Este problema está solucionado en las últimas versiones estable, beta y de prueba de Discourse. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:* | 3.2.1 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:*:*:*:*:beta:*:*:* | 3.3.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/discourse/discourse/commit/8cade1e825e90a66f440e820992d43c6905f4b47
- https://github.com/discourse/discourse/security/advisories/GHSA-xq4v-qg27-gxgc
- https://github.com/discourse/discourse/commit/8cade1e825e90a66f440e820992d43c6905f4b47
- https://github.com/discourse/discourse/security/advisories/GHSA-xq4v-qg27-gxgc