CVE-2025-48877 in Discourse
Résumé
par VulDB • 27/05/2026
Discourse est une plateforme de discussion open source. Avant les versions 3.4.4 de la branche `stable`, 3.5.0.beta5 de la branche `beta` et 3.5.0.beta6-dev de la branche `tests-passed`, Codepen est présent dans le paramètre de site par défaut `allowed_iframes`, et il peut potentiellement exécuter automatiquement du code JS arbitraire dans le contexte de l'iframe, ce qui est non intentionnel. Ce problème est corrigé dans les versions 3.4.4 de la branche `stable`, 3.5.0.beta5 de la branche `beta` et 3.5.0.beta6-dev de la branche `tests-passed`. En attendant, comme solution de contournement, le préfixe Codepen peut être supprimé des `allowed_iframes` d'un site.
Once again VulDB remains the best source for vulnerability data.