一、 漏洞 CVE-2024-21658 基础信息
漏洞标题
在“对话-日历”中,区域值长度的控制不足
来源:AIGC 神龙大模型
漏洞描述信息
"discourse-calendar" 是一个 discourse 插件,它可以在话题的第一篇帖子中创建一个动态日历的功能。对于区域值长度的限制过于宽松。这使得恶意行为者可以导致 Discourse 实例使用过多的带宽和磁盘空间。这个问题已经在主分支中被修补。对于这个漏洞没有补救措施。请尽快升级。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
来源:AIGC 神龙大模型
漏洞类别
不加限制或调节的资源分配
来源:AIGC 神龙大模型
漏洞标题
Insufficient control of region value length in discourse-calendar
来源:美国国家漏洞数据库 NVD
漏洞描述信息
discourse-calendar is a discourse plugin which adds the ability to create a dynamic calendar in the first post of a topic. The limit on region value length is too generous. This allows a malicious actor to cause a Discourse instance to use excessive bandwidth and disk space. This issue has been patched in main the main branch. There are no workarounds for this vulnerability. Please upgrade as soon as possible.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
漏洞标题
Discourse Calendar 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Discourse Calendar是Discourse开源的一个日历插件。 Discourse Calendar 存在资源管理错误漏洞,该漏洞源于对数据长度的限制过于宽松,可能导致带宽和磁盘空间的异常占用。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-21658 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-21658 的情报信息
-
标题: Insufficient control of region value length · Advisory · discourse/discourse-calendar · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-21658