Vulnerabilidad en Discourse (CVE-2024-56197)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

04/02/2025

Última modificación:

04/02/2025

Descripción

Discourse es una plataforma de código abierto para debates comunitarios. Los títulos y metadatos de los mensajes privados pueden ser leídos por otros usuarios cuando la opción "Etiquetas de mensajes privados permitidas para grupos" está habilitada, el otro usuario es miembro de un grupo agregado a esta opción y el mensaje privado ha sido etiquetado. Este problema ha sido corregido en las últimas versiones "stable", "beta" y "tests-passed" de Discourse. Se recomienda a los usuarios que actualicen la versión. Los usuarios que no puedan actualizar la versión deben eliminar todos los grupos de la opción "Etiquetas de mensajes privados permitidas para grupos".

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 2.20 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

2.20

Gravedad 3.x

BAJA

Referencias a soluciones, herramientas e información

https://github.com/discourse/discourse/security/advisories/GHSA-xmgr-g9cp-v239