Plataforma
discourse
Componente
discourse-ai
Corrigido em
92.0.1
A vulnerabilidade CVE-2024-54142 afeta o plugin Discourse AI, que adiciona funcionalidades de inteligência artificial ao Discourse. Ao compartilhar conversas do bot, HTML entities presentes nessas conversas podem ser injetadas na aplicação Discourse, permitindo a execução de scripts maliciosos. Essa falha afeta versões do Discourse AI anteriores ou iguais a 92f122c e foi corrigida no commit 92f122c.
Um atacante pode explorar essa vulnerabilidade de Cross-Site Scripting (XSS) ao compartilhar conversas do bot que contenham HTML entities. Quando um usuário visita um post com um onebox para essa conversa, o script malicioso injetado será executado no contexto do navegador do usuário. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página. A severidade crítica da vulnerabilidade indica um alto potencial de impacto e exploração, especialmente em ambientes onde o Discourse AI é amplamente utilizado para compartilhamento de informações.
A vulnerabilidade foi divulgada em 2025-01-14. Não há informações disponíveis sobre exploração ativa ou presença na KEV. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, dada a sua natureza de XSS e o potencial de impacto. A correção foi implementada e disponibilizada pelo fornecedor.
Discourse installations utilizing the Discourse AI plugin, particularly those with public forums or where AI Bot conversations are frequently shared, are at risk. Shared hosting environments running Discourse are also vulnerable, as the plugin's security depends on the host's overall security posture.
• discourse: Check Discourse logs for unusual JavaScript execution or suspicious URL patterns in post content. • generic web: Use curl/wget to inspect the HTML source code of posts that onebox AI Bot conversations for injected scripts.
curl -s 'https://your-discourse-site.com/t/example-post' | grep -i '<script>' disclosure
Status do Exploit
EPSS
0.26% (percentil 49%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-54142 é atualizar o plugin Discourse AI para a versão 92f122c ou superior. Essa versão inclui a correção para a vulnerabilidade de XSS. Se a atualização imediata não for possível, uma medida temporária é remover todos os grupos do site setting ai bot public sharing allowed groups. Isso impede o compartilhamento de conversas do bot, eliminando o vetor de ataque. Após a atualização, confirme a correção verificando se as conversas do bot compartilhadas não injetam mais scripts maliciosos na aplicação.
Atualize o plugin Discourse AI para a última versão disponível. Se não puder atualizar, remova todos os grupos do ajuste do site `ai bot public sharing allowed groups`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-54142 is a critical Cross-Site Scripting (XSS) vulnerability in the Discourse AI plugin, allowing malicious HTML entities in AI Bot conversations to be injected into Discourse posts.
You are affected if you are using the Discourse AI plugin in a version prior to 92f122c.
Upgrade the Discourse AI plugin to version 92f122c or remove all groups from the 'ai bot public sharing allowed groups' site setting.
There are currently no confirmed reports of active exploitation, but the high CVSS score suggests a potential for exploitation.
Refer to the official Discourse security announcement on their website for details and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.