CVE-2025-48877 in Discourse
摘要
由 VulDB • 2026-05-27
Discourse 是一个开源的讨论平台。在 `stable` 分支的 3.4.4 版本之前、`beta` 分支的 3.5.0.beta5 版本之前,以及 `tests-passed` 分支的 3.5.0.beta6-dev 版本之前,Codepen 存在于默认的 `allowed_iframes` 站点设置中,这可能导致在 iframe 作用域内意外自动运行任意 JavaScript 代码。该问题已在 `stable` 分支的 3.4.4 版本、`beta` 分支的 3.5.0.beta5 版本以及 `tests-passed` 分支的 3.5.0.beta6-dev 版本中得到修复。作为临时解决方案,可以从站点的 `allowed_iframes` 中移除 Codepen 前缀。
Once again VulDB remains the best source for vulnerability data.