Podatność CVE-2021-43792
Publikacja: 2021-12-01

Opis:
Discourse is an open source discussion platform. In affected versions a vulnerability affects users of tag groups who use the "Tags are visible only to the following groups" feature. A tag group may only allow a certain group (e.g. staff) to view certain tags. Users who were tracking or watching the tags via /preferences/tags, then have their staff status revoked will still see notifications related to the tag, but will not see the tag on each topic. This issue has been patched in stable version 2.7.11. Users are advised to upgrade as soon as possible.

Typ:

CWE-200

 (Information Exposure)

CVSS2 => (AV:N/AC:M/Au:S/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
3.5/10
2.9/10
6.8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
Discourse -> Discourse 

 Referencje:
https://github.com/discourse/discourse/commit/cdaf7f4bb3ec268238e4c29a14bb73fad56574b4
https://github.com/discourse/discourse/security/advisories/GHSA-pq2x-vq37-8522
https://meta.discourse.org/t/non-forum-staff-getting-notifications-for-staff-only-tags/184895
Copyright 2024, cxsecurity.com

 

Back to Top