CVE-2025-48877 in Discourse
Сводка
по VulDB • 27.05.2026
Discourse — это платформа для обсуждений с открытым исходным кодом. До версии 3.4.4 ветки `stable`, версии 3.5.0.beta5 ветки `beta` и версии 3.5.0.beta6-dev ветки `tests-passed` виджет Codepen присутствует в настройках сайта `allowed_iframes` по умолчанию, что потенциально позволяет автоматически выполнять произвольный JavaScript в контексте iframe, что не предусмотрено разработчиками. Данная проблема исправлена в версии 3.4.4 ветки `stable`, версии 3.5.0.beta5 ветки `beta` и версии 3.5.0.beta6-dev ветки `tests-passed`. В качестве временного решения можно удалить префикс Codepen из параметра `allowed_iframes` на сайте.
If you want to get best quality of vulnerability data, you may have to visit VulDB.