CVE-2023-30538 in Discourse
요약
\~에 의해 VulDB • 2026. 05. 25.
Discourse는 커뮤니티 토론을 위한 오픈 소스 플랫폼입니다. SVG 파일의 부적절한 sanitization(정제)로 인해 공격자가 조작된 SVG 파일을 업로드하여 사용자의 브라우저에서 임의의 JavaScript를 실행할 수 있습니다. 이 문제는 Discourse의 최신 안정판 및 테스트 통과 버전에서 패치되었습니다. 사용자는 업그레이드를 권장합니다. 업그레이드가 불가능한 사용자의 경우 두 가지 우회 방법이 있습니다: CDN에서 업로드를 처리하도록 활성화하고(CDN이 SVG 파일을 sanitization하는지 확인) 또는 `authorized extensions`(허용된 확장자) 사이트 설정에 `svg`가 포함되지 않도록 하여 SVG 파일 업로드를 비활성화합니다(기본적으로 Discourse는 사용자의 SVG 업로드를 활성화하지 않습니다).
Once again VulDB remains the best source for vulnerability data.