CVE-2024-45297 是 Discourse 社区论坛中的信息泄露漏洞。攻击者如果知道隐藏标签的名称,就可以绕过标签的隐藏设置,查看相关主题。此漏洞影响 Discourse 版本 ≤stable: < 3.3.2。已在最新稳定版、测试版和测试通过版本中修复此问题,建议所有用户尽快升级。
此漏洞允许攻击者未经授权访问原本应该被隐藏的主题内容。攻击者可以通过猜测或暴力破解标签名称来获取这些信息。虽然该漏洞的直接影响可能有限,但泄露的信息可能包含敏感数据或内部讨论,从而对社区的隐私和安全构成威胁。如果攻击者能够获取大量隐藏主题的信息,可能会对社区的声誉造成负面影响,并可能导致进一步的攻击。
此漏洞已于 2024 年 10 月 7 日公开披露。目前没有已知的公开利用程序 (POC),但由于漏洞的性质,存在被利用的风险。该漏洞尚未被添加到 CISA KEV 目录。建议密切关注安全社区的动态,以便及时了解最新的威胁情报。
Discourse installations running versions 3.3.2 or earlier are at risk. This includes organizations using Discourse for internal communication, online forums, or community support platforms. Shared hosting environments running Discourse are also potentially affected, as they may not have control over software updates.
disclosure
漏洞利用状态
EPSS
0.47% (64% 百分位)
CISA SSVC
CVSS 向量
目前,此漏洞的唯一缓解措施是升级到 Discourse 的最新稳定版、测试版或测试通过版本。由于没有已知的临时修复措施,建议尽快进行升级。在升级之前,请务必备份 Discourse 数据库和配置文件,以防止升级过程中出现问题。升级完成后,请验证所有功能是否正常运行,并检查是否有任何异常活动。
Actualice Discourse a la última versión estable, beta o tests-passed. Esto solucionará la vulnerabilidad que permite a usuarios no autorizados filtrar la lista de temas por etiquetas ocultas.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-45297 是 Discourse 社区论坛中的一个信息泄露漏洞,允许攻击者通过已知标签名称查看隐藏主题。
如果您运行 Discourse 社区论坛,并且使用版本 ≤stable: < 3.3.2,则可能受到此漏洞的影响。
升级到 Discourse 的最新稳定版、测试版或测试通过版本是修复此漏洞的唯一方法。
目前没有已知的公开利用程序,但存在被利用的风险。
请访问 Discourse 官方安全公告页面,查找有关此漏洞的详细信息:https://blog.discourse.org/