Vulnerabilidad en los Oneboxes de YouTube en Discourse (CVE-2021-32764)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
15/07/2021
Última modificación:
13/09/2021
Descripción
Discourse es una plataforma de debate de código abierto. En Discourse versiones 2.7.5 y anteriores, el análisis y la renderización de los Oneboxes de YouTube pueden ser susceptibles a ataques de tipo XSS. Esta vulnerabilidad sólo afecta a los sitios que han modificado o desactivado la política de seguridad de contenidos predeterminada de Discourse. El problema está parcheado en versiones "estable" 2.7.6, "beta" 2.8.0.beta3 y "tests-passed" 2.8.0.beta3. Como solución, asegúrese de que la política de seguridad de contenidos está activada y no ha sido modificada de manera que sea más vulnerable a ataques de tipo XSS
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2.7.5 (incluyendo) | |
| cpe:2.3:a:discourse:discourse:2.8.0:beta1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página