VDB-223262 · CVE-2023-23935 · GHSA-rf8j-mf8c-82v7

Discourse 直到 3.0.1/3.1.0.beta2 Message display_personal_messages_tag_counts 信息公开

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
3.7	$0-$5k	0.00

摘要信息

分类为棘手的漏洞曾在Discourse 直到 3.0.1/3.1.0.beta2中发现。受影响的是功能display_personal_messages_tag_counts的组件:Message Handler。当被操控时，会导致信息公开。该漏洞唯一标识为CVE-2023-23935，攻击可能远程发起，没有现成的漏洞利用。建议通过打补丁来解决此问题。

分类为棘手的漏洞曾在Discourse 直到 3.0.1/3.1.0.beta2中发现。受影响的是功能display_personal_messages_tag_counts的组件:Message Handler。当被操控时，会导致信息公开。利用 CWE 标识该问题会跳转到 CWE-200。此漏洞的脆弱性 2023-03-17公示人身份GHSA-rf8j-mf8c-82v7、所分享。请访问 github.com 下载该通告。

该漏洞唯一标识为CVE-2023-23935，在2023-01-19进行了CVE分配。攻击可能远程发起，技术细节已公开。该漏洞的普及率低于常规水平。没有现成的漏洞利用。目前，大约是 USD $0-$5k。 MITRE ATT&CK 项目认定攻击技术为 T1592。

若有长度，则其被标记为未定义。我们估计的零日攻击价值约为$0-$5k。

该补丁名为f31f0b70f82c43d93220ce6fc0d4f57440452f37。请访问github.com下载修复补丁。建议通过打补丁来解决此问题。

产品信息

类型

Chat Software

名称

Discourse

版本

许可证

开源

网站

产品: https://github.com/discourse/discourse/

CPE 2.3信息

CPE 2.2信息

CVSSv4信息

VulDB 向量: 🔍
VulDB 可靠性: 🔍

CVSSv3信息

VulDB 元基础分数: 3.8
VulDB 元临时分数: 3.7

VulDB 基本分数: 3.5
VulDB 临时得分: 3.4
VulDB 向量: 🔍
VulDB 可靠性: 🔍

NVD 基本分数: 4.3
NVD 向量: 🔍

CNA 基本分数: 3.5
CNA 向量 (GitHub, Inc.): 🔍