一、 漏洞 CVE-2025-23023 基础信息
漏洞标题
Discourse中通过请求报头实现的匿名缓存中毒漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Discourse是一款开源的社区讨论平台。在受影响的版本中,攻击者可以通过精心构造的请求头发起请求,从而污染匿名缓存(例如,缓存可能包含缺少预加载数据的响应)。此问题仅影响网站的匿名访问者。此问题已在最新版本的Discourse中修复,建议用户进行升级。对于无法升级的用户,可以通过将环境变量`DISCOURSE_DISABLE_ANON_CACHE`设置为非空值来禁用匿名缓存。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:AIGC 神龙大模型
漏洞标题
Anonymous cache poisoning via request headers in Discourse
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Discourse is an open source platform for community discussion. In affected versions an attacker can carefully craft a request with the right request headers to poison the anonymous cache (for example, the cache may have a response with missing preloaded data). This issue only affects anonymous visitors of the site. This problem has been patched in the latest version of Discourse. Users are advised to upgrade. Users unable to upgrade may disable anonymous cache by setting the `DISCOURSE_DISABLE_ANON_CACHE` environment variable to a non-empty value.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
源验证错误
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-23023 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-23023 的情报信息
-
标题: Anonymous cache poisoning via request headers · Advisory · discourse/discourse · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2025-23023