Plataforma
discourse
Componente
discourse
Corrigido em
3.4.1
3.4.1
O CVE-2025-22601 é uma vulnerabilidade de Path Traversal identificada no Discourse, uma plataforma de código aberto para discussões comunitárias. Um atacante pode explorar essa falha para manipular nomes de usuário de usuários, induzindo-os a realizar alterações em suas próprias contas através de links especialmente elaborados. A vulnerabilidade afeta versões do Discourse anteriores ou iguais a 3.4.0.beta3 e foi corrigida na versão 3.4.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante modifique o nome de usuário de um usuário do Discourse. Embora a modificação do nome de usuário possa parecer um impacto limitado, ela pode ser usada como um passo inicial para ataques mais sofisticados, como phishing direcionado ou a criação de contas falsas com credenciais comprometidas. Em cenários onde o nome de usuário é usado para autorização ou controle de acesso, a manipulação pode levar a escalonamento de privilégios ou acesso não autorizado a recursos sensíveis. A ausência de workarounds conhecidos aumenta o risco para sistemas desprotegidos.
O CVE-2025-22601 foi publicado em 04 de fevereiro de 2025. Atualmente, não há relatos de exploração ativa desta vulnerabilidade. Não há informações disponíveis sobre a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de Proof-of-Concept (PoC) públicos. A baixa severidade do CVSS indica uma probabilidade menor de exploração em comparação com vulnerabilidades de alta severidade.
Discourse installations running versions 3.4.0.beta3 and earlier are at risk. This includes users of self-hosted Discourse instances, as well as those relying on managed hosting providers who have not yet applied the necessary updates. Community forums and online discussion platforms utilizing vulnerable Discourse versions are particularly susceptible.
• ruby / server:
grep -r 'activate-account' /var/www/discourse/*• generic web:
curl -I 'https://your-discourse-instance.com/activate-account?username=../../../../etc/passwd' # Check for unusual responsesdisclosure
Status do Exploit
EPSS
0.33% (percentil 56%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2025-22601 é a atualização imediata para a versão 3.4.1 do Discourse. Não existem workarounds conhecidos para esta vulnerabilidade, tornando a atualização a única solução eficaz. Antes de atualizar, é recomendável fazer um backup completo do banco de dados e dos arquivos de configuração do Discourse. Após a atualização, verifique se todos os componentes do sistema estão funcionando corretamente e se os usuários conseguem acessar e utilizar a plataforma sem problemas. Monitore os logs do Discourse em busca de atividades suspeitas.
Atualize o Discourse para a versão mais recente disponível. A vulnerabilidade foi corrigida na versão mais recente. Não existem workarounds conhecidos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-22601 is a Path Traversal vulnerability in Discourse versions up to 3.4.0.beta3, allowing attackers to manipulate usernames via crafted links.
You are affected if you are running Discourse version 3.4.0.beta3 or earlier. Upgrade to 3.4.1 to mitigate the risk.
Upgrade your Discourse installation to version 3.4.1 or later. There are no known workarounds for this vulnerability.
There are currently no confirmed reports of active exploitation, but it is crucial to apply the patch proactively.
Refer to the official Discourse security advisory for detailed information and updates: [https://github.com/discourse/discourse/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.