Discourse — это дискуссионная платформа с открытым исходным кодом. Версии до 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 потенциально могут хранить XSS в заголовках тем для потока решенных сообщений. Версии 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 содержат исправление.
В качестве обходного пути убедитесь, что политика безопасности контента включена и не была изменена таким образом, чтобы сделать ее более уязвимой для атак XSS.
Показать оригинальное описание (EN)
Discourse is an open-source discussion platform. Versions prior to 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 have a potential stored XSS in topic titles for the solved posts stream. Versions 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 contain a patch. As a workaround, ensure that the Content Security Policy is enabled, and has not been modified in a way which would make it more vulnerable to XSS attacks.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:*
|
2026.1.0
|
2026.1.2
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:*
|
2026.2.0
|
2026.2.1
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:*
|
— | — |