Vulnerabilidad en Discourse (CVE-2024-38360)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
15/07/2024
Última modificación:
26/08/2025
Descripción
Discourse es una plataforma de código abierto para el debate comunitario. En las versiones afectadas, al crear palabras de reemplazo con una cantidad casi ilimitada de caracteres, un moderador puede reducir la disponibilidad de una instancia de Discourse. Este problema se solucionó en la versión estable 3.2.3 y en las versiones beta actuales. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden eliminar manualmente las palabras vistas durante mucho tiempo a través de SQL o la consola Rails.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:beta:*:*:* | 3.3.0 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:* | 3.3.2 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:3.3.0:beta1:*:*:beta:*:*:* | ||
| cpe:2.3:a:discourse:discourse:3.3.0:beta2:*:*:beta:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/discourse/discourse/commit/7b53e610c17e38be982dffefa4e5b5a709a3b990
- https://github.com/discourse/discourse/security/advisories/GHSA-68pm-hm8x-pq2p
- https://github.com/discourse/discourse/commit/7b53e610c17e38be982dffefa4e5b5a709a3b990
- https://github.com/discourse/discourse/security/advisories/GHSA-68pm-hm8x-pq2p