CVE-2023-37467 in Discourseinformazioni

Riassunto

di VulDB • 19/06/2026

Discourse è una piattaforma di discussione open source. Prima delle versioni 3.1.0.beta7 dei rami `beta` e `tests-passed`, è stata rilevata una vulnerabilità di riutilizzo del nonce (Content Security Policy nonce) che potrebbe consentire attacchi di cross-site scripting (XSS) di eludere la protezione CSP per gli utenti anonimi (cioè non autenticati). Al momento non sono noti vettori di attacco XSS, ma qualora uno venisse scoperto, questa vulnerabilità consentirebbe all'attacco XSS di eludere la CSP ed essere eseguito con successo. Questa vulnerabilità non si applica agli utenti connessi. La versione 3.1.0.beta7 contiene una patch. Il ramo stabile non è affetto da questa vulnerabilità. Una soluzione alternativa per prevenire la vulnerabilità consiste nel disabilitare Google Tag Manager, ovvero impostando a vuoto l'impostazione `gtm container id`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub, Inc.

Prenotare

06/07/2023

Divulgazione

28/07/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00316

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!