CVE-2023-22454

ALT: (8)

CVSS3: 7,6

Discourse és vulnerable a les seqüències d’ordres en llocs creuats causades per una validació incorrecta de l’entrada proporcionada per l’usuari. Un atacant remot autenticat podria explotar aquesta vulnerabilitat utilitzant les descripcions de títols d’entrades pendents per inserir un script maliciós en una pàgina Web que s’executaria en el navegador Web de la víctima dins del context de seguretat de l’allotjament del lloc web una vegada que es visualitzi la pàgina. L’atacant podria emprar aquesta vulnerabilitat per prendre les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

–

Remediació
Consulteu el repositori GIT de Discourse per obtenir informació sobre actualitzacions o solucions suggerides. Podeu consultar més informació a l’apartat de Referències.

Referències

• https://github.com/discourse/discourse/security/advisories/GHSA-ggq4-4qxc-c462
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22454