CVE-2023-25172 in Discourseالمعلومات

الملخص

بحسب VulDB • 10/06/2026

Discourse هو منصة نقاش مفتوحة المصدر. قبل الإصدار 3.0.1 من الفرع `stable` والإصدار 3.1.0.beta2 من فروع `beta` و`tests-passed`، يمكن تضمين عنوان URL مُصاغ بشكل ضار في حقل الاسم الكامل للمستخدم لتنفيذ هجمات البرمجة عبر المواقع (Cross-Site Scripting) على المواقع التي يكون فيها جدار حماية محتوى الموقع (CSP - Content Security Policy) معطلاً أو ذا صلاحيات مفرطة. يمنع CSP الافتراضي الخاص بـ Discourse هذا الثغرة الأمنية. تم إصلاح الثغرة في الإصدار 3.0.1 من الفرع `stable` والإصدار 3.1.0.beta2 من فروع `beta` و`tests-passed`. كحل مؤقت، قم بتفعيل وجلب إعدادات CSP الخاصة بموقعك إلى الإعدادات الافتراضية المقدمة مع Discourse.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub, Inc.

حجز

03/02/2023

إفشاء

17/03/2023

الاعتدال

تمت الموافقة

إدخال

VDB-223354

EPSS

0.00527

KEV

لا

النشاطات

منخفض

المصادر

Do you need the next level of professionalism?

Upgrade your account now!