一、 漏洞 CVE-2024-56197 基础信息
漏洞标题
Discourse中用户可以查看其他用户标记的私信
来源:AIGC 神龙大模型
漏洞描述信息
Discourse是一款开源的社区讨论平台。当启用“PM tags allowed for groups”(允许群组查看私信标签)选项时,如果另一用户是该选项所添加的群组成员,并且该私信已被标记,则该用户可以读取其他用户的PM标题和元数据。此问题已在Discourse的最新`stable`(稳定版)、`beta`(测试版)和`tests-passed`(测试通过版)版本中修复。建议用户进行升级。无法升级的用户应从“PM tags allowed for groups”(允许群组查看私信标签)选项中移除所有群组。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
将资源暴露给错误范围
来源:AIGC 神龙大模型
漏洞标题
Users can see other user's tagged PMs in Discourse
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Discourse is an open source platform for community discussion. PM titles and metadata can be read by other users when the "PM tags allowed for groups" option is enabled, the other user is a member of a group added to this option, and the PM has been tagged. This issue has been patched in the latest `stable`, `beta` and `tests-passed` versions of Discourse. Users are advised to upgrade. Users unable to upgrade should remove all groups from the the "PM tags allowed for groups" option.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-56197 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-56197 的情报信息
-
标题: Users can see other user's tagged PMs · Advisory · discourse/discourse · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2024-56197