Vulnerabilidad en Discourse (CVE-2025-24808)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-362
Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
26/03/2025
Última modificación:
26/08/2025
Descripción
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 3.3.4 de la rama estable y 3.4.0.beta5 de la rama beta, alguien que estuviera a punto de alcanzar el límite de usuarios en un mensaje directo grupal podía enviar solicitudes para agregar nuevos usuarios en paralelo. Debido a una condición de ejecución, todas las solicitudes podían procesarse ignorando el límite. El parche de las versiones 3.3.4 y 3.4.0.beta5 utiliza el paso de bloqueo del servicio para encapsular parte del servicio `add_users_to_channel` dentro de un bloqueo/mutex distribuido y así evitar la condición de ejecución.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:* | 3.3.3 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:*:*:*:*:beta:*:*:* | 3.4.0 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:3.4.0:beta1:*:*:beta:*:*:* | ||
| cpe:2.3:a:discourse:discourse:3.4.0:beta2:*:*:beta:*:*:* | ||
| cpe:2.3:a:discourse:discourse:3.4.0:beta3:*:*:beta:*:*:* | ||
| cpe:2.3:a:discourse:discourse:3.4.0:beta4:*:*:beta:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página