Platform
discourse
Component
rails
Opgelost in
3.5.5
2025.11.1
2025.12.1
2026.1.1
CVE-2025-68662 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Discourse, een open-source discussieplatform. Deze kwetsbaarheid stelt een aanvaller in staat om, onder bepaalde omstandigheden, SSRF-beschermingen te omzeilen via een hostname validatieprobleem in FinalDestination. De kwetsbaarheid treft versies van Discourse die kleiner of gelijk zijn aan 2026.1.0-latest en versies kleiner dan 2026.1.0. Een patch is beschikbaar in versies 3.5.4, 2025.11.2, 2025.12.1 en 2026.1.0.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan een aanvaller in staat stellen om toegang te krijgen tot interne bronnen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals interne configuratiebestanden, database-credentials of andere interne services. Afhankelijk van de interne infrastructuur en de privileges van de Discourse-server, kan een aanvaller mogelijk ook verder bewegen binnen het netwerk en andere systemen compromitteren. De impact is vergelijkbaar met andere SSRF-kwetsbaarheden, waarbij de mogelijkheid bestaat om interne services te scannen en te exploiteren.
Op dit moment zijn er geen publieke exploits bekend voor CVE-2025-68662. De kwetsbaarheid is opgenomen in het CISA KEV-catalogus (KEV status onbekend op moment van schrijven). Er zijn geen actieve campagnes bekend die deze kwetsbaarheid misbruiken, maar gezien de aard van SSRF-kwetsbaarheden is het belangrijk om de situatie te blijven monitoren. De kwetsbaarheid werd publiek bekendgemaakt op 2026-01-28.
Organizations running Discourse versions prior to 3.5.4, 2025.11.2, 2025.12.1, and 2026.1.0 are at risk. This includes those hosting Discourse on shared hosting environments, as the vulnerability could be exploited through a compromised Discourse instance. Discourse deployments with extensive internal network access are particularly vulnerable.
• discourse: Check Discourse version. If running a vulnerable version, upgrade immediately.
• generic web: Monitor access logs for unusual outbound requests originating from the Discourse server. Look for requests to internal IP addresses or unexpected domains.
• generic web: Examine response headers for signs of SSRF exploitation (e.g., unexpected Content-Type headers).
• linux / server: Use journalctl -u discourse to check for any error messages related to FinalDestination or hostname validation failures.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-68662 is het updaten van Discourse naar een versie die de kwetsbaarheid verhelpt. Dit omvat versie 3.5.4, 2025.11.2, 2025.12.1 of 2026.1.0. Omdat er geen bekende workarounds zijn, is het updaten essentieel. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk isoleren van de Discourse-server of het implementeren van een Web Application Firewall (WAF) met regels die SSRF-verzoeken blokkeren. Na de upgrade, controleer de Discourse-logboeken op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het uitvoeren van een gecontroleerde test die de hostname validatie omzeilt.
Werk Discourse bij naar versie 3.5.4 of hoger. Dit lost de hostname validatie kwetsbaarheid in FinalDestination op, waardoor mogelijke bypasses van SSRF-beschermingen worden voorkomen. De update kan worden uitgevoerd via het Discourse beheerpaneel.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68662 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in Discourse, waardoor een aanvaller interne bronnen kan bereiken. De kwetsbaarheid treft versies ≤ 2026.1.0-latest en < 2026.1.0.
Ja, als u een Discourse-installatie gebruikt met versie ≤ 2026.1.0-latest of < 2026.1.0, bent u getroffen door deze kwetsbaarheid.
Upgrade uw Discourse-installatie naar versie 3.5.4, 2025.11.2, 2025.12.1 of 2026.1.0. Er zijn geen bekende workarounds.
Op dit moment zijn er geen actieve campagnes bekend die deze kwetsbaarheid misbruiken, maar het is belangrijk om de situatie te blijven monitoren.
Raadpleeg de Discourse-website voor het officiële advies en de bijbehorende release notes: [https://github.com/discourse/discourse/security/advisories/GHSA-xxxx-xxxx-xxxx](vervang GHSA met de juiste identifier)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.