CVE-2023-30538 in Discourseinformación

Resumen

por VulDB • 2026-05-26

Discourse es una plataforma de código abierto para la discusión comunitaria. Debido a la sanitización inadecuada de los archivos SVG, un atacante puede ejecutar JavaScript arbitrario en los navegadores de los usuarios mediante la carga de un archivo SVG manipulado. Este problema se ha corregido en las versiones estables más recientes y en las versiones aprobadas por las pruebas de Discourse. Se recomienda a los usuarios que actualicen. Para los usuarios que no puedan actualizar, existen dos posibles soluciones alternativas: habilitar la gestión de cargas por parte de la CDN (y asegurarse de que la CDN sane los archivos SVG) o deshabilitar la carga de archivos SVG asegurándose de que la configuración del sitio `authorized extensions` no incluya `svg` (o restablecer esa configuración al valor predeterminado, ya que, de forma predeterminada, Discourse no habilita la carga de archivos SVG por parte de los usuarios).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Reservar

2023-04-12

Divulgación

2023-04-19

Moderación

aceptado

Artículo

VDB-226778

CPE

listo

EPSS

0.00364

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!