CVE-2023-37904
NiskieCVSS 2.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Discourse to otwarta platforma dyskusyjna, w której przed wersją 3.0.6 gałęzi `stable` oraz 3.1.0.beta7 gałęzi `beta` i `tests-passed` można było utworzyć więcej użytkowników niż dozwolone za pomocą linków zaproszeniowych. Problem został naprawiony w wersjach 3.0.6 i 3.1.0.beta7.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane utworzenie kont użytkowników, co może prowadzić do nadużyć i problemów z bezpieczeństwem danych.
Rekomendacja
Zaleca się aktualizację do wersji 3.0.6 lub 3.1.0.beta7. Jako tymczasowe rozwiązanie, należy ograniczyć zaproszenia do adresów e-mail.
Oryginalny opis (angielski, źródło NVD)
Discourse is an open source discussion platform. Prior to version 3.0.6 of the `stable` branch and version 3.1.0.beta7 of the `beta` and `tests-passed` branches, more users than permitted could be created from invite links. The issue is patched in version 3.0.6 of the `stable` branch and version 3.1.0.beta7 of the `beta` and `tests-passed` branches. As a workaround, use restrict to email address invites.

