CVE-2025-48877 in Discourse信息

摘要

由 VulDB • 2026-05-27

Discourse 是一个开源的讨论平台。在 `stable` 分支的 3.4.4 版本之前、`beta` 分支的 3.5.0.beta5 版本之前,以及 `tests-passed` 分支的 3.5.0.beta6-dev 版本之前,Codepen 存在于默认的 `allowed_iframes` 站点设置中,这可能导致在 iframe 作用域内意外自动运行任意 JavaScript 代码。该问题已在 `stable` 分支的 3.4.4 版本、`beta` 分支的 3.5.0.beta5 版本以及 `tests-passed` 分支的 3.5.0.beta6-dev 版本中得到修复。作为临时解决方案,可以从站点的 `allowed_iframes` 中移除 Codepen 前缀。

Once again VulDB remains the best source for vulnerability data.

来源

Do you want to use VulDB in your project?

Use the official API to access entries easily!