平台
discourse
组件
discourse-ai
修复版本
92.0.1
CVE-2024-54142 是 Discourse AI 插件中的一个跨站脚本 (XSS) 漏洞。当用户分享 Discourse AI 机器人对话到帖子中,如果对话包含 HTML 实体,这些实体可能被泄露到 Discourse 应用中,导致潜在的安全风险。该漏洞影响 Discourse AI 版本小于或等于 92f122c。已在提交 92f122c 中修复此问题,建议用户及时更新。
该 XSS 漏洞允许攻击者通过恶意构造的 Discourse AI 机器人对话,在其他用户浏览包含该对话的帖子时执行任意 JavaScript 代码。攻击者可以利用此漏洞窃取用户的 Cookie、会话令牌或其他敏感信息,从而冒充用户执行恶意操作。此外,攻击者还可以利用此漏洞篡改页面内容,诱导用户点击恶意链接或执行其他恶意行为。由于 Discourse AI 广泛应用于 Discourse 社区,该漏洞的潜在影响范围较大。
该漏洞已于 2025 年 1 月 14 日公开披露。目前尚未发现公开的利用程序 (PoC),但由于 XSS 漏洞的普遍性,存在被利用的风险。建议用户密切关注安全社区的动态,并及时采取必要的安全措施。
Discourse installations utilizing the Discourse AI plugin, particularly those with public forums or where AI Bot conversations are frequently shared, are at risk. Shared hosting environments running Discourse are also vulnerable, as the plugin's security depends on the host's overall security posture.
• discourse: Check Discourse logs for unusual JavaScript execution or suspicious URL patterns in post content. • generic web: Use curl/wget to inspect the HTML source code of posts that onebox AI Bot conversations for injected scripts.
curl -s 'https://your-discourse-site.com/t/example-post' | grep -i '<script>' disclosure
漏洞利用状态
EPSS
0.26% (49% 百分位)
CISA SSVC
CVSS 向量
修复此漏洞的最佳方法是更新 Discourse AI 插件至版本 92f122c 或更高版本。如果无法立即更新,用户可以采取临时缓解措施,例如移除 ai bot public sharing allowed groups 站点设置中的所有组,从而禁用 AI 机器人对话的公开分享功能。此外,建议对 Discourse 应用的访问权限进行严格控制,并定期审查用户活动,以检测和阻止潜在的攻击行为。更新后,请确认更新是否成功,并测试相关功能是否正常运行。
将 Discourse AI 插件更新到最新可用版本。如果无法更新,请删除 `ai bot public sharing allowed groups` 站点设置中的所有组。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-54142 是 Discourse AI 插件中的一个跨站脚本 (XSS) 漏洞,当分享包含 HTML 实体 Discourse AI 机器人对话时,这些实体可能泄露到 Discourse 应用中,导致潜在的安全风险。
如果您使用的 Discourse AI 插件版本小于或等于 92f122c,则可能受到此漏洞的影响。请立即检查您的插件版本并更新。
建议更新 Discourse AI 插件至版本 92f122c 或更高版本。如果无法立即更新,可以移除 ai bot public sharing allowed groups 站点设置中的所有组。
目前尚未发现公开的利用程序 (PoC),但由于 XSS 漏洞的普遍性,存在被利用的风险。
请访问 Discourse 官方安全公告页面,查找关于 CVE-2024-54142 的相关信息。