CVE-2022-46148

ALT: (7,1)

CVSS3: 6,2

Discourse és vulnerable al cross-site scripting, causat per la incorrecta validació de l’entrada subministrada per l’usuari per la Política de Seguretat de Continguts per defecte. Un atacant remot autenticat podria explotar aquesta vulnerabilitat utilitzant una URL especialment dissenyada per a executar un script en el navegador web de la víctima dins del context de seguretat del lloc web amfitrió, una vegada que es faci clic en la URL. Un atacant podria emprar aquesta vulnerabilitat per robar les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

–

Remediació
Consulteu el repositori GIT de Discourse per a la informació de l’actualització o solució temporal suggerida.

Referències

• https://www.discourse.org/
• https://github.com/discourse/discourse/security/advisories/GHSA-c5h6-6gg5-84fh
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-46148