CVE-2023-30538 in Discourse情報

要約

〜によって VulDB • 2026年05月25日

Discourseはコミュニティディスカッションのためのオープンソースプラットフォームです。SVGファイルの不適切なサニタイズにより、攻撃者は悪意のあるSVGファイルをアップロードすることで、ユーザーのブラウザ上で任意のJavaScriptを実行できます。この問題は、Discourseの最新安定版およびテスト合格版で修正されています。ユーザーはアップグレードすることをお勧めします。アップグレードが不可能なユーザー向けには、2つの回避策があります。1つ目は、アップロードのCDN処理を有効にし(CDNがSVGファイルをサニタイズすることを確認)、2つ目は、`authorized extensions`(許可された拡張子)サイト設定に`svg`が含まれていないことを確認してSVGファイルのアップロードを無効にする(デフォルトでは、DiscourseはユーザーによるSVGアップロードを有効にしていません)ことです。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub, Inc.

予約する

2023年04月12日

モデレーション

承諾済み

エントリ

VDB-226778

EPSS

0.00364

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!