CVE-2025-48877 in Discourseinformation

Résumé

par VulDB • 27/05/2026

Discourse est une plateforme de discussion open source. Avant les versions 3.4.4 de la branche `stable`, 3.5.0.beta5 de la branche `beta` et 3.5.0.beta6-dev de la branche `tests-passed`, Codepen est présent dans le paramètre de site par défaut `allowed_iframes`, et il peut potentiellement exécuter automatiquement du code JS arbitraire dans le contexte de l'iframe, ce qui est non intentionnel. Ce problème est corrigé dans les versions 3.4.4 de la branche `stable`, 3.5.0.beta5 de la branche `beta` et 3.5.0.beta6-dev de la branche `tests-passed`. En attendant, comme solution de contournement, le préfixe Codepen peut être supprimé des `allowed_iframes` d'un site.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

27/05/2025

Divulgation

09/06/2025

Modérer

accepté

Entrée

VDB-311706

CPE

prêt

EPSS

0.00348

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!