Katalog CVE

CVE-2024-54142

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Discourse AI to wtyczka do Discourse, która oferuje funkcje oparte na sztucznej inteligencji. W przypadku udostępniania rozmów z Discourse AI Bot w postach, HTML encje mogą wyciekać do aplikacji Discourse, gdy użytkownik odwiedza post z odnośnikiem do tej rozmowy.

Ocena ryzyka

Może to prowadzić do ujawnienia danych lub nieautoryzowanego dostępu do informacji w aplikacji Discourse, co stanowi zagrożenie dla bezpieczeństwa użytkowników.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji, w której problem został rozwiązany. Użytkownicy, którzy nie mogą zaktualizować, powinni usunąć wszystkie grupy z ustawienia 'ai bot public sharing allowed groups'.

Oryginalny opis (angielski, źródło NVD)

Discourse AI is a Discourse plugin which provides a number of AI features. When sharing Discourse AI Bot conversations into posts, if the conversation had HTML entities those could leak into the Discourse application when a user visited a post with a onebox to said conversation. This issue has been addressed in commit `92f122c`. Users are advised to update. Users unable to update may remove all groups from `ai bot public sharing allowed groups` site setting.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS