Platform
discourse
Component
discourse
Opgelost in
3.4.1
3.4.1
CVE-2025-22601 beschrijft een Path Traversal kwetsbaarheid in Discourse, een open-source platform voor communitydiscussies. Deze kwetsbaarheid stelt een aanvaller in staat om gebruikersnamen te wijzigen via een zorgvuldig geconstrueerde link. De kwetsbaarheid treft versies van Discourse tot en met 3.4.0.beta3 en is verholpen in versie 3.4.1. Upgrade wordt sterk aanbevolen.
Met deze Path Traversal kwetsbaarheid kan een aanvaller een slachtoffer misleiden om wijzigingen aan hun eigen gebruikersnaam door te voeren. Dit gebeurt door een speciaal ontworpen link te gebruiken via de activate-account route. Hoewel de impact als 'LOW' wordt ingeschaald, kan dit leiden tot ongeautoriseerde accountwijzigingen en mogelijk verdere misbruik, afhankelijk van de privileges die aan de gebruikersnaam verbonden zijn. De kwetsbaarheid kan gebruikt worden om de authenticatie te omzeilen en toegang te krijgen tot gevoelige informatie of functionaliteit binnen de Discourse community.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 4 februari 2025. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus. De lage CVSS score suggereert een beperkte kans op actieve exploitatie, maar het is belangrijk om de kwetsbaarheid te patchen om potentiële risico's te minimaliseren.
Discourse installations running versions 3.4.0.beta3 and earlier are at risk. This includes users of self-hosted Discourse instances, as well as those relying on managed hosting providers who have not yet applied the necessary updates. Community forums and online discussion platforms utilizing vulnerable Discourse versions are particularly susceptible.
• ruby / server:
grep -r 'activate-account' /var/www/discourse/*• generic web:
curl -I 'https://your-discourse-instance.com/activate-account?username=../../../../etc/passwd' # Check for unusual responsesdisclosure
Exploit Status
EPSS
0.33% (56% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-22601 is het upgraden van Discourse naar versie 3.4.1 of hoger. Omdat er geen bekende workarounds zijn, is een upgrade essentieel om de kwetsbaarheid te verhelpen. Zorg ervoor dat de upgradeprocedure correct wordt uitgevoerd om onverwachte problemen te voorkomen. Na de upgrade, controleer de Discourse logs op verdachte activiteit gerelateerd aan accountwijzigingen om te bevestigen dat de kwetsbaarheid effectief is verholpen.
Werk Discourse bij naar de laatste beschikbare versie. De kwetsbaarheid is verholpen in de laatste versie. Er zijn geen bekende workarounds.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-22601 is a Path Traversal vulnerability in Discourse versions up to 3.4.0.beta3, allowing attackers to manipulate usernames via crafted links.
You are affected if you are running Discourse version 3.4.0.beta3 or earlier. Upgrade to 3.4.1 to mitigate the risk.
Upgrade your Discourse installation to version 3.4.1 or later. There are no known workarounds for this vulnerability.
There are currently no confirmed reports of active exploitation, but it is crucial to apply the patch proactively.
Refer to the official Discourse security advisory for detailed information and updates: [https://github.com/discourse/discourse/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.