Plataforma
discourse
Componente
discourse-ai
Corregido en
92.0.1
La vulnerabilidad CVE-2024-54142 es una falla de Cross-Site Scripting (XSS) presente en el plugin Discourse AI para la plataforma Discourse. Esta falla permite a un atacante inyectar código malicioso al compartir conversaciones del bot, lo que podría comprometer la seguridad de los usuarios. La vulnerabilidad afecta a versiones de Discourse AI anteriores o iguales a la versión 92f122c. Se recomienda actualizar a la versión corregida o aplicar una mitigación temporal.
Un atacante podría explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas de Discourse. Al compartir conversaciones del bot que contienen entidades HTML, estas podrían ser renderizadas como código ejecutable en el navegador de otros usuarios. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página. El impacto se amplifica si la conversación del bot se comparte ampliamente, afectando a un gran número de usuarios. La inyección de scripts podría también ser utilizada para realizar ataques de phishing dirigidos o para comprometer la integridad de la plataforma Discourse.
Esta vulnerabilidad fue publicada el 14 de enero de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. Aunque no se han visto explotaciones públicas, la naturaleza de XSS hace que esta vulnerabilidad sea de alta prioridad para su mitigación, especialmente dada su puntuación CVSS de 9.1 (CRÍTICO). La disponibilidad de un parche relativamente sencillo reduce la probabilidad de explotación a gran escala.
Discourse installations utilizing the Discourse AI plugin, particularly those with public forums or where AI Bot conversations are frequently shared, are at risk. Shared hosting environments running Discourse are also vulnerable, as the plugin's security depends on the host's overall security posture.
• discourse: Check Discourse logs for unusual JavaScript execution or suspicious URL patterns in post content. • generic web: Use curl/wget to inspect the HTML source code of posts that onebox AI Bot conversations for injected scripts.
curl -s 'https://your-discourse-site.com/t/example-post' | grep -i '<script>' disclosure
Estado del Exploit
EPSS
0.26% (49% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Discourse AI a la versión 92f122c o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda una mitigación temporal: eliminar todos los grupos del ajuste de configuración ai bot public sharing allowed groups. Esto impedirá que las conversaciones del bot se compartan públicamente, eliminando la vía de ataque. Es crucial revisar los registros de auditoría de Discourse para detectar cualquier actividad sospechosa relacionada con la inyección de scripts. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las entidades HTML se manejen correctamente al compartir conversaciones del bot.
Actualice el plugin Discourse AI a la última versión disponible. Si no puede actualizar, elimine todos los grupos del ajuste del sitio `ai bot public sharing allowed groups`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-54142 is a critical Cross-Site Scripting (XSS) vulnerability in the Discourse AI plugin, allowing malicious HTML entities in AI Bot conversations to be injected into Discourse posts.
You are affected if you are using the Discourse AI plugin in a version prior to 92f122c.
Upgrade the Discourse AI plugin to version 92f122c or remove all groups from the 'ai bot public sharing allowed groups' site setting.
There are currently no confirmed reports of active exploitation, but the high CVSS score suggests a potential for exploitation.
Refer to the official Discourse security announcement on their website for details and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.