Vulnerabilidad en Discourse (CVE-2025-48062)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
09/06/2025
Última modificación:
25/08/2025
Descripción
Discourse es una plataforma de discusión de código abierto. En versiones anteriores a la 3.4.4 de la rama `stable`, la 3.5.0.beta5 de la rama `beta` y la 3.5.0.beta6-dev de la rama `tests-passed`, ciertas invitaciones por correo electrónico podían provocar la inyección de HTML en el cuerpo del correo si el título del tema incluía HTML. Esto incluye invitar a alguien (sin cuenta) a un mensaje privado y a un tema con un mensaje personalizado. Este problema se ha corregido en las versiones 3.4.4 de la rama `stable`, la 3.5.0.beta5 de la rama `beta` y la 3.5.0.beta6-dev de la rama `tests-passed`. Esto se puede solucionar sobrescribiendo las plantillas correspondientes sin `{topic_title}`.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:* | 3.4.4 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:*:*:*:*:beta:*:*:* | 3.5.0 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:3.5.0:-:*:*:beta:*:*:* | ||
| cpe:2.3:a:discourse:discourse:3.5.0:beta1:*:*:beta:*:*:* | ||
| cpe:2.3:a:discourse:discourse:3.5.0:beta2:*:*:beta:*:*:* | ||
| cpe:2.3:a:discourse:discourse:3.5.0:beta3:*:*:beta:*:*:* | ||
| cpe:2.3:a:discourse:discourse:3.5.0:beta4:*:*:beta:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página