漏洞标题
通过Discourse的admin主题导入路线进行服务拒绝攻击
漏洞描述信息
Discourse是一个用于社区讨论的开源平台。在受影响的版本中,来自Discourse管理者的恶意构造请求可能导致长时间的请求并最终超时。在管理员不可信的共享托管环境中,这个问题的潜在影响最大。此问题已在3.0.3和3.1.0.beta4版本中得到解决。建议用户升级。目前没有已知的缓解此漏洞的方法。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L
漏洞类别
N/A
漏洞标题
Denial of service via admin theme import route in Discourse
漏洞描述信息
Discourse is an open source platform for community discussion. In affected versions a maliciously crafted request from a Discourse administrator can lead to a long-running request and eventual timeout. This has the greatest potential impact in shared hosting environments where admins are untrusted. This issue has been addressed in versions 3.0.3 and 3.1.0.beta4. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L
漏洞类别
未加控制的资源消耗(资源穷尽)
漏洞标题
Discourse 资源管理错误漏洞
漏洞描述信息
Discourse是一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。 Discourse存在资源管理错误漏洞,该漏洞源于来自 Discourse 管理员的恶意请求可能会导致请求长时间运行并最终超时。受影响的产品和版本:Discourse stable <= 3.0.2及之前版本,beta 3.1.0.beta3及之前版本,tests-passed 3.1.0.beta3及之前版本。
CVSS信息
N/A
漏洞类别
资源管理错误