漏洞标题
通过Discourse中的未消毒的动态调度到SiteSetting的多站点拒绝服务攻击
漏洞描述信息
Discourse是一个用于社区讨论的开源平台。在受影响的版本中,已登录为管理员的用户可以对`SiteSetting`类调用任意方法,特别是`#clear_cache!`和`#notify_changed!`。在多站点实例上执行这些操作可能会影响整个集群,导致服务不可用。不在多站点环境中运行的用户不会受到影响。此问题已在Discourse的最新稳定版、测试通过的测试版和测试通过的测试版中得到修补。建议用户升级。目前没有已知的缓解此漏洞的方法。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
漏洞类别
N/A
漏洞标题
Multisite denial of service through unsanitized dynamic dispatch to SiteSetting in Discourse
漏洞描述信息
Discourse is an open source platform for community discussion. In affected versions a user logged as an administrator can call arbitrary methods on the `SiteSetting` class, notably `#clear_cache!` and `#notify_changed!`, which when done on a multisite instance, can affect the entire cluster resulting in a denial of service. Users not running in multisite environments are not affected. This issue is patched in the latest stable, beta and tests-passed versions of Discourse. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:H
漏洞类别
关键资源的不正确权限授予
漏洞标题
Discourse 安全漏洞
漏洞描述信息
Discourse是一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。 Discourse存在安全漏洞,该漏洞源于以管理员身份登录的用户可以调用SiteSetting类上的任意方法,当在多站点上完成时,可以影响整个集群。受影响的产品和版本:Discourse stable 3.0.1及之前版本,beta 3.1.0.beta2及之前版本,tests-passed 3.1.0.beta2及之前版本。
CVSS信息
N/A
漏洞类别
其他