Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los campos Location y Website de un perfil de usuario en Discourse (CVE-2022-39226)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/09/2022
Última modificación:
05/10/2022

Descripción

Discourse es una plataforma de discusión de código abierto. En versiones anteriores a 2.8.9 en la rama "stable" y anteriores a 2.9.0.beta10 en las ramas "beta" y "tests-passed", un actor malicioso puede añadir grandes cargas de texto en los campos Location y Website de un perfil de usuario, lo que causa problemas a otros usuarios cuando es cargado ese perfil. En versión 2.8.9 de la rama "stable" y en la versión 2.9.0.beta10 de las ramas "beta" y "tests-passed" es incluida una corrección para limitar la longitud de la entrada del usuario en estos campos. No se presentan mitigaciones conocidas

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* 2.8.9 (excluyendo)
cpe:2.3:a:discourse:discourse:2.9.0:beta1:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta2:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta3:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta4:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta5:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta6:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta7:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta8:*:*:*:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta9:*:*:*:*:*:*