CVE-2023-30538 in Discourse
要約
〜によって VulDB • 2026年05月25日
Discourseはコミュニティディスカッションのためのオープンソースプラットフォームです。SVGファイルの不適切なサニタイズにより、攻撃者は悪意のあるSVGファイルをアップロードすることで、ユーザーのブラウザ上で任意のJavaScriptを実行できます。この問題は、Discourseの最新安定版およびテスト合格版で修正されています。ユーザーはアップグレードすることをお勧めします。アップグレードが不可能なユーザー向けには、2つの回避策があります。1つ目は、アップロードのCDN処理を有効にし(CDNがSVGファイルをサニタイズすることを確認)、2つ目は、`authorized extensions`(許可された拡張子)サイト設定に`svg`が含まれていないことを確認してSVGファイルのアップロードを無効にする(デフォルトでは、DiscourseはユーザーによるSVGアップロードを有効にしていません)ことです。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.