一、 漏洞 CVE-2024-47772 基础信息
漏洞标题
Discourse禁用内容安全策略时存在跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Discourse是一款开源社区讨论平台。攻击者可以通过发送一个恶意构造的聊天消息并回复该消息,在用户浏览器中执行任意的JavaScript代码。此问题仅影响禁用了CSP(内容安全策略)的站点。此问题已在最新版本的Discourse中修复。建议所有用户进行升级。无法升级的用户应确保论坛启用了CSP。进行升级的用户同时建议启用CSP作为预防措施。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Cross-site Scripting (XSS) via chat excerpts when content security policy (CSP) disabled in Discourse
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Discourse is an open source platform for community discussion. An attacker can execute arbitrary JavaScript on users' browsers by sending a maliciously crafted chat message and replying to it. This issue only affects sites with CSP disabled. This problem is patched in the latest version of Discourse. All users are advised to upgrade. Users unable to upgrade should ensure CSP is enabled on the forum. Users who do upgrade should also consider enabling a CSP as well as a proactive measure.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Discourse 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Discourse是Discourse开源的一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。 Discourse存在跨站脚本漏洞。攻击者利用该漏洞可以通过发送恶意制作的聊天消息并回复该消息,从而在用户的浏览器上执行任意JavaScript。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47772 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-47772 的情报信息