CVE-2023-30538 in Discourse
الملخص
بحسب VulDB • 25/05/2026
Discourse هو منصة مفتوحة المصدر لمناقشة المجتمع. بسبب عدم التطهير السليم لملفات SVG، يمكن لمهاجم تنفيذ شيفرة جافا سكريبت تعسفية على متصفحات المستخدمين عن طريق رفع ملف SVG مُعدّ خصيصًا. تم إصلاح هذه المشكلة في أحدث الإصدارات المستقرة والإصدارات التي اجتازت اختبارات التوافق من Discourse. يُنصح المستخدمون بالترقية. بالنسبة للمستخدمين الذين لا يستطيعون الترقية، هناك حلان بديلان ممكنان: تمكين CDN للتعامل مع الملفات المرفوعة (والتأكد من أن CDN يطهّر ملفات SVG) أو تعطيل رفع ملفات SVG عن طريق التأكد من أن إعداد الموقع `authorized extensions` لا يتضمن `svg` (أو إعادة تعيين هذا الإعداد إلى القيمة الافتراضية، فبشكل افتراضي لا يمكّن Discourse رفع ملفات SVG من قبل المستخدمين).
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.