Plataforma
discourse
Componente
discourse
Corregido en
3.4.1
3.4.1
El CVE-2025-22601 es una vulnerabilidad de Path Traversal descubierta en Discourse, una plataforma de código abierto para foros de discusión. Un atacante puede engañar a un usuario para que realice cambios en su propio nombre de usuario a través de un enlace cuidadosamente diseñado. Esta vulnerabilidad afecta a versiones de Discourse menores o iguales a 3.4.0.beta3 y ha sido solucionada en la versión 3.4.1.
Esta vulnerabilidad de Path Traversal permite a un atacante manipular la ruta del sistema de archivos, potencialmente permitiendo la modificación de archivos sensibles o la ejecución de código malicioso. En este caso específico, el atacante puede modificar el nombre de usuario de un usuario, lo que podría llevar a la suplantación de identidad o a la manipulación de la reputación dentro de la comunidad. Aunque el impacto directo es limitado, la explotación exitosa podría ser un primer paso para ataques más graves, como la escalada de privilegios o el acceso a información confidencial.
El CVE-2025-22601 fue publicado el 4 de febrero de 2025. No se han reportado campañas de explotación activas conocidas. No se encuentra listado en el KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario para que el ataque sea exitoso.
Discourse installations running versions 3.4.0.beta3 and earlier are at risk. This includes users of self-hosted Discourse instances, as well as those relying on managed hosting providers who have not yet applied the necessary updates. Community forums and online discussion platforms utilizing vulnerable Discourse versions are particularly susceptible.
• ruby / server:
grep -r 'activate-account' /var/www/discourse/*• generic web:
curl -I 'https://your-discourse-instance.com/activate-account?username=../../../../etc/passwd' # Check for unusual responsesdisclosure
Estado del Exploit
EPSS
0.33% (56% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2025-22601 es actualizar Discourse a la versión 3.4.1 o superior. Dado que no existen workarounds conocidos, la actualización es la única forma efectiva de proteger su instancia de Discourse. Antes de actualizar, se recomienda realizar una copia de seguridad completa de la base de datos y los archivos de configuración. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el enlace malicioso ya no permite la modificación del nombre de usuario.
Actualice Discourse a la última versión disponible. La vulnerabilidad ha sido corregida en la última versión. No existen workarounds conocidos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-22601 is a Path Traversal vulnerability in Discourse versions up to 3.4.0.beta3, allowing attackers to manipulate usernames via crafted links.
You are affected if you are running Discourse version 3.4.0.beta3 or earlier. Upgrade to 3.4.1 to mitigate the risk.
Upgrade your Discourse installation to version 3.4.1 or later. There are no known workarounds for this vulnerability.
There are currently no confirmed reports of active exploitation, but it is crucial to apply the patch proactively.
Refer to the official Discourse security advisory for detailed information and updates: [https://github.com/discourse/discourse/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.