Platform
discourse
Component
discourse
Opgelost in
3.3.3
3.4.1
CVE-2024-45297 beschrijft een informatielek in Discourse, een open-source platform voor communitydiscussies. Deze kwetsbaarheid stelt aanvallers in staat om verborgen tags in discussiethema's in te zien, zelfs als deze als verborgen zijn gemarkeerd. De kwetsbaarheid treft versies van Discourse tot en met 3.3.2. Upgrade naar de nieuwste stabiele, beta of tests-passed versie om dit probleem te verhelpen.
De impact van deze kwetsbaarheid is dat ongeautoriseerde gebruikers toegang kunnen krijgen tot informatie die bedoeld was om verborgen te blijven. Dit kan leiden tot schending van de privacy van gebruikers, onbedoelde blootstelling van gevoelige data of manipulatie van discussies. Hoewel de kwetsbaarheid niet direct leidt tot een RCE of data-exfiltratie, kan het wel gebruikt worden om de reputatie van de community te schaden of om andere aanvallen te faciliteren door inzicht te krijgen in de structuur en inhoud van verborgen discussies.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-10-07. Er zijn momenteel geen bekende actieve exploits of campagnes gerelateerd aan CVE-2024-45297. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn geen publieke proof-of-concept exploits beschikbaar.
Discourse installations running versions 3.3.2 or earlier are at risk. This includes organizations using Discourse for internal communication, online forums, or community support platforms. Shared hosting environments running Discourse are also potentially affected, as they may not have control over software updates.
disclosure
Exploit Status
EPSS
0.47% (64% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-45297 is het upgraden van Discourse naar de nieuwste stabiele, beta of tests-passed versie. Er zijn geen bekende workarounds beschikbaar voor deze kwetsbaarheid. Zorg ervoor dat automatische updates zijn ingeschakeld om toekomstige kwetsbaarheden snel te kunnen patchen. Controleer na de upgrade de configuratie van de tags om te verzekeren dat de gewenste privacy-instellingen behouden blijven.
Actualice Discourse a la última versión estable, beta o tests-passed. Esto solucionará la vulnerabilidad que permite a usuarios no autorizados filtrar la lista de temas por etiquetas ocultas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-45297 is a vulnerability in Discourse where attackers can view hidden topics if they know the tag label, impacting versions ≤ 3.3.2.
Yes, if you are running Discourse version 3.3.2 or earlier, you are affected by this information disclosure vulnerability.
Upgrade Discourse to the latest stable, beta, or tests-passed version. There are no known workarounds besides upgrading.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Discourse security announcement on their website for details: https://blog.discourse.org/topic/95338-security-notice-cve-2024-45297
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.