CVE-2023-30538 in Discourseالمعلومات

الملخص

بحسب VulDB • 25/05/2026

Discourse هو منصة مفتوحة المصدر لمناقشة المجتمع. بسبب عدم التطهير السليم لملفات SVG، يمكن لمهاجم تنفيذ شيفرة جافا سكريبت تعسفية على متصفحات المستخدمين عن طريق رفع ملف SVG مُعدّ خصيصًا. تم إصلاح هذه المشكلة في أحدث الإصدارات المستقرة والإصدارات التي اجتازت اختبارات التوافق من Discourse. يُنصح المستخدمون بالترقية. بالنسبة للمستخدمين الذين لا يستطيعون الترقية، هناك حلان بديلان ممكنان: تمكين CDN للتعامل مع الملفات المرفوعة (والتأكد من أن CDN يطهّر ملفات SVG) أو تعطيل رفع ملفات SVG عن طريق التأكد من أن إعداد الموقع `authorized extensions` لا يتضمن `svg` (أو إعادة تعيين هذا الإعداد إلى القيمة الافتراضية، فبشكل افتراضي لا يمكّن Discourse رفع ملفات SVG من قبل المستخدمين).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub, Inc.

حجز

12/04/2023

إفشاء

19/04/2023

الاعتدال

تمت الموافقة

إدخال

VDB-226778

EPSS

0.00364

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!