Discourse 中通过 XHR 请求进行匿名缓存中毒 (CVE-2024-47773)
CVE编号
CVE-2024-47773利用情况
暂无补丁情况
N/A披露时间
2024-10-09漏洞描述
Discourse 是一个开源社区讨论平台。攻击者可以通过发起多次 XHR 请求,直到缓存被没有预加载数据的响应所污染。这个问题只影响网站的匿名访客。这个问题已在 Discourse 的最新版本中得到修复。建议用户进行升级。无法升级的用户应通过设置环境变量 `DISCOURSE_DISABLE_ANON_CACHE` 为非空值来禁用匿名缓存。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/discourse/discourse/security/advisories/GHSA-58vv-9j8h-hw2v |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-610 | 资源在另一范围的外部可控制索引 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论