CVE

Vulnerabilidad en Discourse (CVE-2024-36122)

Severidad:
BAJA
Type:
CWE-200 Revelación de información
Fecha de publicación:
03/07/2024
Última modificación:
05/07/2024

Descripción

Discourse es una plataforma de discusión de código abierto. Antes de la versión 3.2.3 en la rama "estable" y la versión 3.3.0.beta4 en las ramas "beta" y "pruebas aprobadas", los moderadores que usaban la cola de revisión para revisar a los usuarios podían ver la dirección de correo electrónico de un usuario incluso cuando la opción Permitir Los moderadores para ver las direcciones de correo electrónico están deshabilitados. Este problema se solucionó en la versión 3.2.3 en la rama "estable" y en la versión 3.3.0.beta4 en las ramas "beta" y "pruebas aprobadas". Como posibles workarounds, impida que los moderadores accedan a la cola de revisión o deshabilite la configuración del sitio para aprobar usuarios sospechosos y la configuración del sitio para aprobar a los usuarios para evitar que se agreguen usuarios a la cola de revisión.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 2.40 BAJA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
2.40
Severidad 3.x
BAJA

Referencias a soluciones, herramientas e información