Vulnerabilidad en Discourse (CVE-2022-39356)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/11/2022
Última modificación:
27/06/2023
Descripción
Discourse es una plataforma para la discusión comunitaria. Los usuarios que reciben un enlace de invitación que no está dirigido a una única dirección de correo electrónico pueden ingresar el correo electrónico de cualquier usuario que no sea administrador y obtener acceso a su cuenta al aceptar la invitación. Todos los usuarios deben actualizar a la última versión. Un workaround alternativo es deshabilitar temporalmente las invitaciones con `SiteSetting.max_invites_per_day = 0` o limitarlas a direcciones de correo electrónico individuales.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2.8.10 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:2.9.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2.9.0:beta10:*:*:*:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2.9.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2.9.0:beta3:*:*:*:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2.9.0:beta4:*:*:*:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2.9.0:beta5:*:*:*:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2.9.0:beta6:*:*:*:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2.9.0:beta7:*:*:*:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2.9.0:beta8:*:*:*:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2.9.0:beta9:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página