Gratis scannen
MEDIUMCVE-2024-45297CVSS 5.3

Voorkom dat ongeautoriseerde gebruikers onderwerpen filteren op verborgen tags in Discourse

Platform

discourse

Component

discourse

Opgelost in

3.3.3

3.4.1

AI Confidence: highNVDEPSS 0.5%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2024-45297 beschrijft een informatielek in Discourse, een open-source platform voor communitydiscussies. Deze kwetsbaarheid stelt aanvallers in staat om verborgen tags in discussiethema's in te zien, zelfs als deze als verborgen zijn gemarkeerd. De kwetsbaarheid treft versies van Discourse tot en met 3.3.2. Upgrade naar de nieuwste stabiele, beta of tests-passed versie om dit probleem te verhelpen.

Impact en Aanvalsscenarios

De impact van deze kwetsbaarheid is dat ongeautoriseerde gebruikers toegang kunnen krijgen tot informatie die bedoeld was om verborgen te blijven. Dit kan leiden tot schending van de privacy van gebruikers, onbedoelde blootstelling van gevoelige data of manipulatie van discussies. Hoewel de kwetsbaarheid niet direct leidt tot een RCE of data-exfiltratie, kan het wel gebruikt worden om de reputatie van de community te schaden of om andere aanvallen te faciliteren door inzicht te krijgen in de structuur en inhoud van verborgen discussies.

Uitbuitingscontext

Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-10-07. Er zijn momenteel geen bekende actieve exploits of campagnes gerelateerd aan CVE-2024-45297. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn geen publieke proof-of-concept exploits beschikbaar.

Wie Loopt Risicowordt vertaald…

Discourse installations running versions 3.3.2 or earlier are at risk. This includes organizations using Discourse for internal communication, online forums, or community support platforms. Shared hosting environments running Discourse are also potentially affected, as they may not have control over software updates.

Aanvalstijdlijn

  1. Disclosure

    disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

EPSS

0.47% (64% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaaryes
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityNoneRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Geen — geen integriteitsimpact.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentdiscourse
Leverancierdiscourse
Getroffen bereikOpgelost in
stable: < 3.3.2 – stable: < 3.3.23.3.3
beta: < 3.4.0.beta2 – beta: < 3.4.0.beta23.4.1

Zwakheidsclassificatie (CWE)

CWE-269

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2024-45297 is het upgraden van Discourse naar de nieuwste stabiele, beta of tests-passed versie. Er zijn geen bekende workarounds beschikbaar voor deze kwetsbaarheid. Zorg ervoor dat automatische updates zijn ingeschakeld om toekomstige kwetsbaarheden snel te kunnen patchen. Controleer na de upgrade de configuratie van de tags om te verzekeren dat de gewenste privacy-instellingen behouden blijven.

Hoe te verhelpenwordt vertaald…

Actualice Discourse a la última versión estable, beta o tests-passed. Esto solucionará la vulnerabilidad que permite a usuarios no autorizados filtrar la lista de temas por etiquetas ocultas.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragenwordt vertaald…

What is CVE-2024-45297 — Information Disclosure in Discourse?

CVE-2024-45297 is a vulnerability in Discourse where attackers can view hidden topics if they know the tag label, impacting versions ≤ 3.3.2.

Am I affected by CVE-2024-45297 in Discourse?

Yes, if you are running Discourse version 3.3.2 or earlier, you are affected by this information disclosure vulnerability.

How do I fix CVE-2024-45297 in Discourse?

Upgrade Discourse to the latest stable, beta, or tests-passed version. There are no known workarounds besides upgrading.

Is CVE-2024-45297 being actively exploited?

As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.

Where can I find the official Discourse advisory for CVE-2024-45297?

Refer to the official Discourse security announcement on their website for details: https://blog.discourse.org/topic/95338-security-notice-cve-2024-45297

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken