Platform
discourse
Component
discourse-ai
Opgelost in
92.0.1
CVE-2024-54142 is een Cross-Site Scripting (XSS) kwetsbaarheid in de Discourse AI plugin voor Discourse. Deze kwetsbaarheid stelt aanvallers in staat om schadelijke scripts uit te voeren wanneer HTML entities in Discourse AI Bot gesprekken worden gedeeld en vervolgens in Discourse posts worden weergegeven. De kwetsbaarheid treft versies van Discourse AI tot en met 92f122c. Een update naar de nieuwste versie is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze XSS kwetsbaarheid kan leiden tot het stelen van gebruikersgegevens, het uitvoeren van acties namens gebruikers of het defacen van de Discourse website. Aangezien de kwetsbaarheid voortkomt uit het delen van Bot gesprekken, kunnen aanvallers deze kwetsbaarheid gebruiken om gebruikers te misleiden om schadelijke acties uit te voeren, zoals het klikken op kwaadaardige links of het invoeren van gevoelige informatie. De impact kan aanzienlijk zijn, vooral in omgevingen waar Discourse wordt gebruikt voor interne communicatie of het delen van gevoelige informatie.
Deze kwetsbaarheid is openbaar bekend en de fix is beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en CISA Knowledge Base (KEV). Er zijn publieke proof-of-concept exploits beschikbaar, wat de kans op misbruik vergroot.
Discourse installations utilizing the Discourse AI plugin, particularly those with public forums or where AI Bot conversations are frequently shared, are at risk. Shared hosting environments running Discourse are also vulnerable, as the plugin's security depends on the host's overall security posture.
• discourse: Check Discourse logs for unusual JavaScript execution or suspicious URL patterns in post content. • generic web: Use curl/wget to inspect the HTML source code of posts that onebox AI Bot conversations for injected scripts.
curl -s 'https://your-discourse-site.com/t/example-post' | grep -i '<script>' disclosure
Exploit Status
EPSS
0.26% (49% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van Discourse AI naar versie 92f122c of hoger. Indien een directe update niet mogelijk is, kan de kwetsbaarheid worden beperkt door alle groepen te verwijderen uit de site-instelling ai bot public sharing allowed groups. Dit voorkomt dat Bot gesprekken publiekelijk gedeeld kunnen worden. Controleer de Discourse logs op verdachte activiteiten die verband houden met het delen van Bot gesprekken. Na de update, verifieer de fix door een gesprek met HTML entities te delen en te controleren of de entities correct worden weergegeven zonder dat er scripts worden uitgevoerd.
Actualice el plugin Discourse AI a la última versión disponible. Si no puede actualizar, elimine todos los grupos del ajuste del sitio `ai bot public sharing allowed groups`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-54142 is a critical Cross-Site Scripting (XSS) vulnerability in the Discourse AI plugin, allowing malicious HTML entities in AI Bot conversations to be injected into Discourse posts.
You are affected if you are using the Discourse AI plugin in a version prior to 92f122c.
Upgrade the Discourse AI plugin to version 92f122c or remove all groups from the 'ai bot public sharing allowed groups' site setting.
There are currently no confirmed reports of active exploitation, but the high CVSS score suggests a potential for exploitation.
Refer to the official Discourse security announcement on their website for details and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.