Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la API en Discourse (CVE-2022-36068)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/09/2022
Última modificación:
06/10/2022

Descripción

Discourse es una plataforma de debate de código abierto. En versiones anteriores a 2.8.9 en la rama "stable" y anteriores a 2.9.0.beta10 en las ramas "beta" y "tests-passed", un moderador puede crear nuevos temas y editar los existentes usando la API cuando no debería poder hacerlo. El problema está parcheado en versión 2.8.9 en la rama "stable" y en la versión 2.9.0.beta10 en las ramas "beta" y "tests-passed". No se presentan mitigaciones conocidas

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* 2.8.9 (excluyendo)
cpe:2.3:a:discourse:discourse:2.9.0:beta1:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta2:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta3:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta4:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta5:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta6:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta7:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta8:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta9:*:*:*:*:*:*