プラットフォーム
discourse
コンポーネント
discourse
修正版
3.3.3
3.4.1
CVE-2024-45297は、オープンソースのコミュニティディスカッションプラットフォームDiscourseにおける情報漏洩脆弱性です。攻撃者は、非公開タグのラベルまたは名前を知っている場合、そのタグが設定されたトピックを閲覧できてしまいます。この脆弱性は、最新の安定版、ベータ版、およびテストパス版のDiscourseで修正されており、すべてのユーザーに最新バージョンへのアップグレードが推奨されます。
この脆弱性を悪用されると、本来非公開であるべきトピックの内容が、タグ名を知っている攻撃者によって閲覧されてしまう可能性があります。機密情報や内部情報などが含まれるトピックが非公開タグで管理されている場合、その情報が漏洩するリスクがあります。攻撃者は、この情報漏洩を利用して、コミュニティ内の信頼を損なう、または悪意のある目的のために情報を悪用する可能性があります。特に、機密性の高い議論や、特定のグループのみがアクセスできる情報を非公開タグで管理している場合に、重大な影響が生じる可能性があります。
この脆弱性は2024年10月7日に公開されました。現時点では、公的に利用可能なPoCは確認されていませんが、タグ名が推測しやすい場合や、攻撃者がタグ名を特定できる状況下では、悪用される可能性があります。CISA KEVへの登録状況は不明です。
Discourse installations running versions 3.3.2 or earlier are at risk. This includes organizations using Discourse for internal communication, online forums, or community support platforms. Shared hosting environments running Discourse are also potentially affected, as they may not have control over software updates.
disclosure
エクスプロイト状況
EPSS
0.47% (64% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性に対する最も効果的な対策は、Discourseを最新の安定版、ベータ版、またはテストパス版にアップグレードすることです。アップグレードが一時的にシステムに影響を与える可能性がある場合は、事前にバックアップを作成し、テスト環境でアップグレードを検証することをお勧めします。回避策は存在しないため、アップグレードを優先的に実施する必要があります。アップグレード後、タグのアクセス権限設定が正しく機能していることを確認し、非公開タグのトピックが意図したユーザーのみにアクセス可能であることを検証してください。
Actualice Discourse a la última versión estable, beta o tests-passed. Esto solucionará la vulnerabilidad que permite a usuarios no autorizados filtrar la lista de temas por etiquetas ocultas.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-45297は、Discourseにおいて、タグ名を知っているユーザーが非公開タグのトピックを閲覧できる情報漏洩脆弱性です。
Discourseのバージョンが3.3.2以前の場合、影響を受けます。最新バージョンへのアップグレードが必要です。
Discourseを最新の安定版、ベータ版、またはテストパス版にアップグレードしてください。回避策はありません。
現時点では、公的に利用可能なPoCは確認されていませんが、悪用される可能性はあります。
Discourseの公式アドバイザリは、Discourseのセキュリティアナウンスメントページで確認できます。