Plataforma
discourse
Componente
discourse
Corregido en
3.3.3
3.4.1
CVE-2024-45297 es una vulnerabilidad de divulgación de información en Discourse, una plataforma de código abierto para foros de discusión. Esta vulnerabilidad permite a usuarios maliciosos acceder a temas que deberían estar ocultos, si conocen la etiqueta o nombre de la misma. Afecta a todas las versiones de Discourse menores o iguales a 3.3.2. Se recomienda encarecidamente actualizar a la última versión estable, beta o tests-passed para solucionar el problema.
La divulgación de información a través de esta vulnerabilidad puede comprometer la privacidad de los usuarios y la integridad de la comunidad en Discourse. Un atacante que conozca el nombre de una etiqueta oculta puede acceder a contenido que no debería ser visible, lo que podría revelar información sensible o alterar la percepción de la comunidad sobre ciertos temas. Aunque el impacto directo no implica la ejecución de código, la exposición de información confidencial puede tener consecuencias significativas para la reputación y la confianza en la plataforma. No se han reportado incidentes de explotación pública a la fecha, pero la facilidad de explotación hace que sea un riesgo potencial.
CVE-2024-45297 fue publicado el 7 de octubre de 2024. No se encuentra en el KEV de CISA ni se han reportado campañas de explotación activas. La vulnerabilidad es relativamente sencilla de explotar, lo que podría aumentar el riesgo de que sea utilizada en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Discourse installations running versions 3.3.2 or earlier are at risk. This includes organizations using Discourse for internal communication, online forums, or community support platforms. Shared hosting environments running Discourse are also potentially affected, as they may not have control over software updates.
disclosure
Estado del Exploit
EPSS
0.47% (64% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-45297 es actualizar Discourse a la última versión estable, beta o tests-passed. Esta actualización incluye la corrección de la vulnerabilidad y elimina la posibilidad de que los usuarios accedan a temas ocultos de forma no autorizada. Dado que no existen soluciones alternativas, la actualización es la única forma efectiva de proteger la plataforma. Después de la actualización, verifique que las etiquetas ocultas sigan siendo inaccesibles para usuarios no autorizados mediante la creación de un tema con una etiqueta oculta y la verificación de que solo los administradores puedan verlo.
Actualice Discourse a la última versión estable, beta o tests-passed. Esto solucionará la vulnerabilidad que permite a usuarios no autorizados filtrar la lista de temas por etiquetas ocultas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-45297 is a vulnerability in Discourse where attackers can view hidden topics if they know the tag label, impacting versions ≤ 3.3.2.
Yes, if you are running Discourse version 3.3.2 or earlier, you are affected by this information disclosure vulnerability.
Upgrade Discourse to the latest stable, beta, or tests-passed version. There are no known workarounds besides upgrading.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Discourse security announcement on their website for details: https://blog.discourse.org/topic/95338-security-notice-cve-2024-45297
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.