Plateforme
discourse
Composant
discourse-ai
Corrigé dans
92.0.1
La vulnérabilité CVE-2024-54142 est une faille de Cross-Site Scripting (XSS) affectant le plugin Discourse AI pour Discourse. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant dans les conversations du bot, qui peut ensuite être exécuté dans le navigateur d'un utilisateur lorsqu'il visite un post contenant un onebox vers cette conversation. Les versions de Discourse AI inférieures ou égales à 92f122c sont concernées. Une correction a été déployée dans le commit 92f122c.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, à la modification du contenu de la page web, ou à l'exécution d'actions au nom de l'utilisateur sans son consentement. Le risque est particulièrement élevé si les conversations du bot contiennent des informations sensibles ou si le plugin est utilisé dans un environnement critique. Un attaquant pourrait potentiellement compromettre l'ensemble de l'instance Discourse en utilisant cette faille pour obtenir un accès non autorisé.
Cette vulnérabilité a été rendue publique le 14 janvier 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement en raison de la simplicité de l'exploitation des vulnérabilités XSS. La gravité élevée de la vulnérabilité justifie une attention particulière et une application rapide des correctifs.
Discourse installations utilizing the Discourse AI plugin, particularly those with public forums or where AI Bot conversations are frequently shared, are at risk. Shared hosting environments running Discourse are also vulnerable, as the plugin's security depends on the host's overall security posture.
• discourse: Check Discourse logs for unusual JavaScript execution or suspicious URL patterns in post content. • generic web: Use curl/wget to inspect the HTML source code of posts that onebox AI Bot conversations for injected scripts.
curl -s 'https://your-discourse-site.com/t/example-post' | grep -i '<script>' disclosure
Statut de l'Exploit
EPSS
0.26% (percentile 49%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Discourse AI vers la version corrigée (92f122c). Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à supprimer tous les groupes des paramètres ai bot public sharing allowed groups du site. Cela empêchera le partage public des conversations du bot et réduira le risque d'exploitation. Il est également recommandé de surveiller les logs du serveur à la recherche d'activités suspectes et de configurer un Web Application Firewall (WAF) pour bloquer les requêtes malveillantes. Après la mise à jour, vérifiez l'intégrité du plugin et assurez-vous que le partage public est correctement désactivé si cette option de contournement est utilisée.
Mettez à jour le plugin Discourse AI vers la dernière version disponible. Si vous ne pouvez pas mettre à jour, supprimez tous les groupes du paramètre du site `ai bot public sharing allowed groups`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-54142 is a critical Cross-Site Scripting (XSS) vulnerability in the Discourse AI plugin, allowing malicious HTML entities in AI Bot conversations to be injected into Discourse posts.
You are affected if you are using the Discourse AI plugin in a version prior to 92f122c.
Upgrade the Discourse AI plugin to version 92f122c or remove all groups from the 'ai bot public sharing allowed groups' site setting.
There are currently no confirmed reports of active exploitation, but the high CVSS score suggests a potential for exploitation.
Refer to the official Discourse security announcement on their website for details and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.