डिस्कर्स-एआई शेयरडएआईकन्वर्सेशन वनबॉक्स के माध्यम से क्रॉस-साइट स्क्रिप्टिंग (Cross-site Scripting) डिस्कोर्स में

यह क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता हमलावरों को दुर्भावनापूर्ण जावास्क्रिप्ट कोड को डिस्कोर्स एप्लिकेशन में इंजेक्ट करने की अनुमति देती है। एक सफल शोषण के परिणामस्वरूप, हमलावर उपयोगकर्ता के ब्राउज़र में अनधिकृत क्रियाएं कर सकता है, जैसे कि सत्र कुकीज़ चुराना, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करना या उपयोगकर्ता के खाते पर नियंत्रण हासिल करना। चूंकि यह भेद्यता वनबॉक्सिंग के माध्यम से फैलती है, इसलिए इसका प्रभाव व्यापक हो सकता है, जिससे कई उपयोगकर्ताओं के खाते खतरे में पड़ सकते हैं। इस भेद्यता का उपयोग फ़िशिंग हमलों को लॉन्च करने, संवेदनशील जानकारी चुराने या डिस्कोर्स इंस्टेंस को समझौता करने के लिए किया जा सकता है।

Discourse installations utilizing the Discourse AI plugin, particularly those with public forums or where AI Bot conversations are frequently shared, are at risk. Shared hosting environments running Discourse are also vulnerable, as the plugin's security depends on the host's overall security posture.

• discourse: Check Discourse logs for unusual JavaScript execution or suspicious URL patterns in post content. • generic web: Use curl/wget to inspect the HTML source code of posts that onebox AI Bot conversations for injected scripts.

curl -s 'https://your-discourse-site.com/t/example-post' | grep -i '<script>' 

1. 2025-01-14Disclosure

   disclosure

1. आरक्षित2024-11-29
2. प्रकाशित2025-01-14
3. संशोधित2025-01-15
4. EPSS अद्यतन2026-04-02

इस भेद्यता को कम करने के लिए, उपयोगकर्ताओं को तुरंत डिस्कोर्स AI को संस्करण 92f122c या बाद के संस्करण में अपडेट करने की सलाह दी जाती है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, 'ai bot public sharing allowed groups' साइट सेटिंग से सभी समूहों को हटा दें। यह सुविधा को अक्षम कर देगा, लेकिन भेद्यता को कम कर देगा। आगे की सुरक्षा के लिए, सुनिश्चित करें कि आपके डिस्कोर्स इंस्टेंस में नवीनतम सुरक्षा पैच स्थापित हैं और एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो XSS हमलों को ब्लॉक कर सके।