平台
discourse
组件
discourse
修复版本
3.4.1
3.4.1
CVE-2025-22601 是 Discourse 社区讨论平台中的路径遍历漏洞。攻击者可以利用此漏洞诱使用户通过精心构造的链接修改自己的用户名,从而可能导致未经授权的修改。此漏洞影响 Discourse 版本小于或等于 3.4.0.beta3 的用户。已在 Discourse 最新版本 3.4.1 中修复此问题。
攻击者可以利用此漏洞诱使用户点击恶意链接,从而修改其用户名。虽然该漏洞的直接影响可能有限,但它可能被用于进一步攻击,例如,通过修改用户名来绕过身份验证或其他安全控制。攻击者可能能够利用此漏洞来篡改用户配置,或执行其他未经授权的操作。由于 Discourse 广泛应用于各种在线社区,因此该漏洞的潜在影响范围广泛。
该漏洞于 2025 年 2 月 4 日公开披露。目前没有已知的公开利用程序 (PoC),也没有关于该漏洞正在被积极利用的报告。该漏洞被评定为低危,但仍建议尽快修复,以降低潜在风险。
Discourse installations running versions 3.4.0.beta3 and earlier are at risk. This includes users of self-hosted Discourse instances, as well as those relying on managed hosting providers who have not yet applied the necessary updates. Community forums and online discussion platforms utilizing vulnerable Discourse versions are particularly susceptible.
• ruby / server:
grep -r 'activate-account' /var/www/discourse/*• generic web:
curl -I 'https://your-discourse-instance.com/activate-account?username=../../../../etc/passwd' # Check for unusual responsesdisclosure
漏洞利用状态
EPSS
0.33% (56% 百分位)
CISA SSVC
CVSS 向量
目前,此漏洞没有已知的缓解措施,除了升级到已修复的版本。建议立即将 Discourse 升级到 3.4.1 或更高版本。在升级之前,请务必备份 Discourse 数据库和配置文件,以防止升级过程中出现问题。升级后,请验证用户名修改功能是否正常工作,以确认漏洞已成功修复。
将 Discourse 升级到最新可用版本。漏洞已在最新版本中修复。目前尚无已知的解决方法。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-22601 是 Discourse 社区讨论平台中的一个安全漏洞,攻击者可以通过精心构造的链接诱使用户修改自己的用户名,导致路径遍历漏洞。
如果您正在运行 Discourse 3.4.0.beta3 或更早版本,则您可能受到此漏洞的影响。请立即升级到 3.4.1 或更高版本。
升级到 Discourse 3.4.1 或更高版本是修复此漏洞的唯一方法。请务必在升级之前备份您的 Discourse 实例。
目前没有关于 CVE-2025-22601 正在被积极利用的报告,但建议尽快修复以降低潜在风险。
请访问 Discourse 官方安全公告页面,以获取有关 CVE-2025-22601 的更多信息:[https://github.com/discourse/discourse/security/advisories/CVE-2025-22601](https://github.com/discourse/discourse/security/advisories/CVE-2025-22601)