一、 漏洞 CVE-2023-29196 基础信息
漏洞标题
通过主题嵌入在Discourse中的HTML注入
来源:AIGC 神龙大模型
漏洞描述信息
Discourse是一个用于社区讨论的开源平台。此漏洞在Discourse的默认安装中不可被利用。该漏洞需要自定义功能启用才能发挥作用,且攻击者的载荷必须通过CSP(内容安全策略)才能执行。然而,如果攻击者成功嵌入了通过CSP的JavaScript,那么查看攻击者帖子的任何用户都可能会发生会话劫持。此漏洞已在最新通过测试的、测试版和稳定版分支中得到修复。建议用户升级。无法升级的用户应启用或恢复网站的CSP为Discourse提供的默认CSP。移除配置的任何可嵌入主机。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
HTML injection via topic embedding in Discourse
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Discourse is an open source platform for community discussion. This vulnerability is not exploitable on the default install of Discourse. A custom feature must be enabled for it to work at all, and the attacker’s payload must pass the CSP to be executed. However, if an attacker succeeds in embedding Javascript that does pass the CSP, it could result in session hijacking for any users that view the attacker’s post. The vulnerability is patched in the latest tests-passed, beta and stable branches. Users are advised to upgrade. Users unable to upgrade should enable and/or restore your site's CSP to the default one provided with Discourse. Remove any embed-able hosts configured.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Discourse 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Discourse是一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。 Discourse存在跨站脚本漏洞,该漏洞源于允许嵌入通过 CSP 的 Javascript,导致用户会话劫持。受影响的产品和版本:Discourse stable 3.0.2及之前版本,beta 3.1.0.beta3及之前版本,tests-passed 3.1.0.beta3及之前版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-29196 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-29196 的情报信息