Plataforma
discourse
Componente
discourse
Corrigido em
3.3.3
3.4.1
A vulnerabilidade CVE-2024-45297 afeta o Discourse, uma plataforma de código aberto para discussões comunitárias. Ela permite que usuários visualizem tópicos que foram marcados como ocultos, caso conheçam o nome ou rótulo da tag utilizada. Essa falha de segurança impacta versões do Discourse menores ou iguais a 3.3.2 e foi corrigida na versão estável, beta e tests-passed mais recente.
A principal consequência dessa vulnerabilidade é a exposição de informações que deveriam estar ocultas aos usuários. Um atacante, conhecendo o nome de uma tag oculta, pode visualizar tópicos que foram intencionalmente escondidos, potencialmente revelando discussões privadas, conteúdo sensível ou informações confidenciais. Embora a exploração não permita a execução remota de código, a divulgação de informações pode comprometer a privacidade e a integridade da comunidade Discourse.
A vulnerabilidade foi divulgada em 7 de outubro de 2024. Não há relatos de exploração ativa no momento. Não está listada no KEV da CISA. A probabilidade de exploração é considerada baixa devido à necessidade de conhecimento prévio do nome da tag oculta.
Discourse installations running versions 3.3.2 or earlier are at risk. This includes organizations using Discourse for internal communication, online forums, or community support platforms. Shared hosting environments running Discourse are also potentially affected, as they may not have control over software updates.
disclosure
Status do Exploit
EPSS
0.47% (percentil 64%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-45297 é a atualização imediata para a versão estável, beta ou tests-passed mais recente do Discourse. Não existem workarounds conhecidos para esta vulnerabilidade, tornando a atualização a única solução eficaz. Após a atualização, confirme a correção verificando se tópicos com tags ocultas não são mais visíveis para usuários que não deveriam ter acesso a eles.
Actualice Discourse a la última versión estable, beta o tests-passed. Esto solucionará la vulnerabilidad que permite a usuarios no autorizados filtrar la lista de temas por etiquetas ocultas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-45297 is a vulnerability in Discourse where attackers can view hidden topics if they know the tag label, impacting versions ≤ 3.3.2.
Yes, if you are running Discourse version 3.3.2 or earlier, you are affected by this information disclosure vulnerability.
Upgrade Discourse to the latest stable, beta, or tests-passed version. There are no known workarounds besides upgrading.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Discourse security announcement on their website for details: https://blog.discourse.org/topic/95338-security-notice-cve-2024-45297
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.