漏洞标题
通过 Discourse 中的开发模式头对匿名用户缓存进行中毒
漏洞描述信息
通过Discourse开发模式头文件的匿名用户缓存中毒
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
漏洞类别
N/A
漏洞标题
Anonymous user cache poisoning via development-mode header in Discourse
漏洞描述信息
Discourse is an open source discussion platform. In affected versions an attacker can poison the cache for anonymous (i.e. not logged in) users, such that the users are shown a JSON blob instead of the HTML page. This can lead to a partial denial-of-service. This issue is patched in the latest stable, beta and tests-passed versions of Discourse.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
漏洞类别
资源在另一范围的外部可控制索引
漏洞标题
Discourse 安全漏洞
漏洞描述信息
Discourse是一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。 Discourse存在安全漏洞,该漏洞源于软件在用户的缓存处理存在权限。攻击者可利用该漏洞可以毒化匿名(即未登录)用户的缓存,这样用户显示的是JSON blob而不是HTML页面。这可能导致部分拒绝服务。
CVSS信息
N/A
漏洞类别
其他