CVE-2024-54142
KrytyczneStreszczenie
Discourse AI to wtyczka do Discourse, która oferuje funkcje oparte na sztucznej inteligencji. W przypadku udostępniania rozmów z Discourse AI Bot w postach, HTML encje mogą wyciekać do aplikacji Discourse, gdy użytkownik odwiedza post z odnośnikiem do tej rozmowy.
Ocena ryzyka
Może to prowadzić do ujawnienia danych lub nieautoryzowanego dostępu do informacji w aplikacji Discourse, co stanowi zagrożenie dla bezpieczeństwa użytkowników.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji, w której problem został rozwiązany. Użytkownicy, którzy nie mogą zaktualizować, powinni usunąć wszystkie grupy z ustawienia 'ai bot public sharing allowed groups'.
Oryginalny opis (angielski, źródło NVD)
Discourse AI is a Discourse plugin which provides a number of AI features. When sharing Discourse AI Bot conversations into posts, if the conversation had HTML entities those could leak into the Discourse application when a user visited a post with a onebox to said conversation. This issue has been addressed in commit `92f122c`. Users are advised to update. Users unable to update may remove all groups from `ai bot public sharing allowed groups` site setting.

