Plateforme
discourse
Composant
discourse
Corrigé dans
3.4.1
3.4.1
La vulnérabilité CVE-2025-22601 affecte Discourse, une plateforme open source pour les discussions communautaires. Elle permet à un attaquant de tromper un utilisateur pour qu'il effectue des modifications sur son propre nom d'utilisateur via un lien spécialement conçu utilisant la route activate-account. Cette faille a été corrigée dans la dernière version de Discourse et les utilisateurs sont encouragés à mettre à jour leur installation.
Cette vulnérabilité de traversal de chemin permet à un attaquant de modifier le nom d'utilisateur d'un utilisateur Discourse. Bien que la modification du nom d'utilisateur puisse sembler mineure, elle peut être exploitée pour des attaques d'usurpation d'identité, de spam ou pour contourner des contrôles d'accès basés sur le nom d'utilisateur. L'attaquant doit inciter la victime à cliquer sur un lien malveillant, ce qui nécessite un certain niveau d'ingénierie sociale. La portée de l'impact est limitée à la capacité de l'attaquant à manipuler les utilisateurs et à l'importance du nom d'utilisateur dans le contexte de la communauté Discourse.
Cette vulnérabilité a été publiée le 4 février 2025. Il n'y a pas d'indications d'exploitation active à ce jour. Aucune preuve de code de démonstration (PoC) publique n'a été signalée. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Discourse installations running versions 3.4.0.beta3 and earlier are at risk. This includes users of self-hosted Discourse instances, as well as those relying on managed hosting providers who have not yet applied the necessary updates. Community forums and online discussion platforms utilizing vulnerable Discourse versions are particularly susceptible.
• ruby / server:
grep -r 'activate-account' /var/www/discourse/*• generic web:
curl -I 'https://your-discourse-instance.com/activate-account?username=../../../../etc/passwd' # Check for unusual responsesdisclosure
Statut de l'Exploit
EPSS
0.33% (percentile 56%)
CISA SSVC
Vecteur CVSS
La mitigation principale pour CVE-2025-22601 est la mise à jour vers la version corrigée de Discourse, 3.4.1 ou ultérieure. Étant donné qu'il n'existe pas de solution de contournement, la mise à jour est essentielle pour éliminer la vulnérabilité. Avant la mise à jour, il est recommandé de sauvegarder la configuration de Discourse et les données associées. Après la mise à jour, vérifiez que le nom d'utilisateur d'un utilisateur peut être modifié de manière sécurisée et que les liens d'activation de compte fonctionnent comme prévu.
Mettez à jour Discourse vers la dernière version disponible. La vulnérabilité a été corrigée dans la dernière version. Il n'existe pas de solutions de contournement connues.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-22601 is a Path Traversal vulnerability in Discourse versions up to 3.4.0.beta3, allowing attackers to manipulate usernames via crafted links.
You are affected if you are running Discourse version 3.4.0.beta3 or earlier. Upgrade to 3.4.1 to mitigate the risk.
Upgrade your Discourse installation to version 3.4.1 or later. There are no known workarounds for this vulnerability.
There are currently no confirmed reports of active exploitation, but it is crucial to apply the patch proactively.
Refer to the official Discourse security advisory for detailed information and updates: [https://github.com/discourse/discourse/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.