CRITICALCVE-2024-54142CVSS 9.1

Discourse の Discourse-ai SharedAiConversation onebox を介したクロスサイトスクリプティング

Q: CVE-2024-54142 — XSSはDiscourse AIプラグインで何ですか？

CVE-2024-54142は、Discourse AIプラグインにおけるクロスサイトスクリプティング(XSS)の脆弱性です。Discourse AI Botの会話を共有する際に、HTMLエンティティが漏洩し、悪用される可能性があります。

Q: CVE-2024-54142はDiscourse AIプラグインで影響を受けますか？

はい、Discourse AIプラグインのバージョン92f122c以前を使用している場合は影響を受けます。バージョン92f122cへのアップデート、または`ai bot public sharing allowed groups`サイト設定からのグループ削除が必要です。

Q: CVE-2024-54142はDiscourse AIプラグインでどのように修正しますか？

Discourse AIプラグインをバージョン92f122cにアップデートするか、`ai bot public sharing allowed groups`サイト設定からすべてのグループを削除することで修正できます。

Q: CVE-2024-54142は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。

Q: CVE-2024-54142に関するDiscourseの公式アドバイザリはどこで入手できますか？

Discourseの公式アドバイザリは、DiscourseのウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

discourse

コンポーネント

discourse-ai

修正版

92.0.1

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

Discourse AIプラグインにおいて、Discourse AI Botの会話を投稿に共有する際に、HTMLエンティティが漏洩するクロスサイトスクリプティング(XSS)の脆弱性が存在します。この脆弱性は、攻撃者が悪意のあるスクリプトを実行し、ユーザーのセッションを乗っ取ったり、機密情報を盗んだりする可能性があります。影響を受けるバージョンはDiscourse AIプラグインのバージョン92f122c以前です。バージョン92f122cへのアップデート、またはai bot public sharing allowed groupsサイト設定からのグループ削除により、この脆弱性は修正されています。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者は悪意のあるJavaScriptコードをDiscourseの投稿に埋め込むことができます。ユーザーがその投稿を閲覧すると、JavaScriptコードが実行され、攻撃者はユーザーのCookieを盗んだり、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、ユーザーの代わりにアクションを実行したりする可能性があります。特に、Discourse AI Botの会話を頻繁に共有する環境では、この脆弱性の影響が大きくなる可能性があります。攻撃者は、この脆弱性を利用して、Discourseコミュニティ全体に影響を与える可能性があります。

悪用の状況

この脆弱性は、2025年1月14日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、早急な対応が必要です。CISAのKEVリストへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Discourse installations utilizing the Discourse AI plugin, particularly those with public forums or where AI Bot conversations are frequently shared, are at risk. Shared hosting environments running Discourse are also vulnerable, as the plugin's security depends on the host's overall security posture.

検出手順翻訳中…

• discourse: Check Discourse logs for unusual JavaScript execution or suspicious URL patterns in post content. • generic web: Use curl/wget to inspect the HTML source code of posts that onebox AI Bot conversations for injected scripts.

curl -s 'https://your-discourse-site.com/t/example-post' | grep -i '<script>'

攻撃タイムライン

2025-01-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.26% (49% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdiscourse-ai

ベンダーdiscourse

影響範囲修正版

< 92f122c – < 92f122c92.0.1

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2024-11-29
公開日2025-01-14
更新日2025-01-15
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、Discourse AIプラグインをバージョン92f122cにアップデートすることを強く推奨します。アップデートが困難な場合は、ai bot public sharing allowed groupsサイト設定からすべてのグループを削除することで、共有機能を無効化できます。これにより、HTMLエンティティの漏洩を防ぎ、XSS攻撃のリスクを軽減できます。アップデート後、Discourseの管理者は、共有された会話に悪意のあるスクリプトが含まれていないか、定期的に確認する必要があります。

修正方法

Discourse AI プラグインを最新バージョンにアップデートしてください。アップデートできない場合は、サイト設定 `ai bot public sharing allowed groups` からすべてのグループを削除してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-54142 — XSSはDiscourse AIプラグインで何ですか？