Vulnerabilidad en Discourse (CVE-2025-53102)

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

29/07/2025

Última modificación:

31/07/2025

Descripción

Discourse es una plataforma de discusión comunitaria de código abierto. Antes de la versión 3.4.7 en la rama "stable" y la versión 3.5.0.beta.8 en la rama "tests-passed", al emitir una clave de seguridad física para 2FA, el servidor generaba un desafío de WebAuthn, que el cliente firmaba. El desafío no se borraba de la sesión del usuario después de la autenticación, lo que podría permitir la reutilización y aumentar el riesgo de seguridad. Esto se solucionó en las versiones 3.4.7 y 3.5.0.beta.8.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.20

Gravedad 4.0

ALTA

Vulnerabilidad en Discourse (CVE-2025-53102)

Descripción

Impacto

Referencias a soluciones, herramientas e información