一、 漏洞 CVE-2024-23834 基础信息
漏洞标题
未正确清理用户输入的言论会导致XSS。
来源:AIGC 神龙大模型
漏洞描述信息
论坛 Discourse 是一个开源的讨论平台。不正确地过滤用户输入可能会导致某些情况下的 XSS 漏洞。这个漏洞只影响禁用了默认 Content Security Policy 的 Discourse 实例。在 Discourse 3.1.5 和 3.2.0.beta5 版本中已经修复了该漏洞。作为一种解决方法,请确保 Content Security Policy 被开启且不包含 `unsafe-inline`。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Discourse improperly sanitized user input leads to XSS
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Discourse is an open-source discussion platform. Improperly sanitized user input could lead to an XSS vulnerability in some situations. This vulnerability only affects Discourse instances which have disabled the default Content Security Policy. The vulnerability is patched in 3.1.5 and 3.2.0.beta5. As a workaround, ensure Content Security Policy is enabled and does not include `unsafe-inline`.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Discourse 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Discourse是一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。 Discourse 3.1.5之前和3.2.0.beta5之前版本存在跨站脚本漏洞,该漏洞源于未正确清理的用户输入,导致跨站脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-23834 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-23834 的情报信息