Vulnerabilidad en Discourse (CVE-2023-45816)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
10/11/2023
Última modificación:
16/11/2023
Descripción
Discourse es una plataforma de código abierto para el debate comunitario. Antes de la versión 3.1.3 de la rama "stable" y la versión 3.2.0.beta3 de las ramas "beta" y "tests-passed", existe un caso extremo en el que se envía un recordatorio de marcador y se genera una notificación de no leídos. pero la seguridad subyacente de los marcadores (por ejemplo, publicación, tema, mensaje de chat) ha cambiado, por lo que el usuario ya no puede acceder al recurso subyacente. A partir de la versión 3.1.3 de la rama "stable" y la versión 3.2.0.beta3 de las ramas "beta" y "tests-passed", los recordatorios de marcadores ya no se envían si el usuario no tiene acceso al marcador subyacente, y además las notificaciones de marcadores no leídos siempre se filtran por acceso. No se conocen workarounds.
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:* | 3.1.3 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:*:*:*:*:beta:*:*:* | 3.2.0 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:3.2.0:beta1:*:*:beta:*:*:* | ||
| cpe:2.3:a:discourse:discourse:3.2.0:beta2:*:*:beta:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página