CVE-2025-48877 in DiscourseИнформация

Сводка

по VulDB • 27.05.2026

Discourse — это платформа для обсуждений с открытым исходным кодом. До версии 3.4.4 ветки `stable`, версии 3.5.0.beta5 ветки `beta` и версии 3.5.0.beta6-dev ветки `tests-passed` виджет Codepen присутствует в настройках сайта `allowed_iframes` по умолчанию, что потенциально позволяет автоматически выполнять произвольный JavaScript в контексте iframe, что не предусмотрено разработчиками. Данная проблема исправлена в версии 3.4.4 ветки `stable`, версии 3.5.0.beta5 ветки `beta` и версии 3.5.0.beta6-dev ветки `tests-passed`. В качестве временного решения можно удалить префикс Codepen из параметра `allowed_iframes` на сайте.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

27.05.2025

Раскрытие

09.06.2025

Модерация

принято

Вход

VDB-311706

EPSS

0.00348

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!