Plateforme
discourse
Composant
discourse
Corrigé dans
3.3.3
3.4.1
La vulnérabilité CVE-2024-45297 affecte Discourse, une plateforme open source pour les discussions communautaires. Elle permet à un attaquant de visualiser des sujets marqués comme cachés s'il connaît le nom du tag associé. Cette faille est corrigée dans les dernières versions stables, bêta et tests-passés de Discourse. Il est fortement recommandé de mettre à jour votre instance.
Cette divulgation d'informations peut permettre à un attaquant d'accéder à des sujets qui étaient censés être cachés, potentiellement révélant des informations sensibles ou confidentielles. L'impact dépend du contenu des sujets cachés et de l'importance des utilisateurs qui pourraient y avoir accès. Bien que la vulnérabilité ne permette pas une exécution de code à distance, elle peut compromettre la confidentialité des discussions et la réputation de la communauté Discourse. L'attaquant pourrait utiliser ces informations pour des attaques ciblées ou pour manipuler les membres de la communauté.
Cette vulnérabilité a été divulguée publiquement le 7 octobre 2024. Il n'y a pas d'indication d'une exploitation active à ce jour. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en raison de la nécessité de connaître le nom du tag pour exploiter la vulnérabilité.
Discourse installations running versions 3.3.2 or earlier are at risk. This includes organizations using Discourse for internal communication, online forums, or community support platforms. Shared hosting environments running Discourse are also potentially affected, as they may not have control over software updates.
disclosure
Statut de l'Exploit
EPSS
0.47% (percentile 64%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Discourse vers la dernière version stable, bêta ou tests-passées. Il n'existe pas de solution de contournement pour cette vulnérabilité. Avant de procéder à la mise à jour, il est conseillé de sauvegarder votre instance Discourse. Après la mise à jour, vérifiez que tous les plugins et thèmes sont compatibles avec la nouvelle version et qu'ils ne présentent pas de nouvelles vulnérabilités. Confirmez la correction en tentant d'accéder à un sujet caché en connaissant son nom de tag.
Actualice Discourse a la última versión estable, beta o tests-passed. Esto solucionará la vulnerabilidad que permite a usuarios no autorizados filtrar la lista de temas por etiquetas ocultas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-45297 is a vulnerability in Discourse where attackers can view hidden topics if they know the tag label, impacting versions ≤ 3.3.2.
Yes, if you are running Discourse version 3.3.2 or earlier, you are affected by this information disclosure vulnerability.
Upgrade Discourse to the latest stable, beta, or tests-passed version. There are no known workarounds besides upgrading.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Discourse security announcement on their website for details: https://blog.discourse.org/topic/95338-security-notice-cve-2024-45297
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.