Discourse vulnerable to DoS via Regexp Injection in Full Name 漏洞信息(CVE-2023-45806)

一、漏洞 CVE-2023-45806 基础信息

漏洞信息

                                        # Discourse 在用户名中易受正则注入攻击导致DoS漏洞

## 概述
Discourse是一个社区讨论开源平台。在特定版本之前，如果用户被引用且其全名中包含`|`字符，他们可以通过更新全名触发一个漏洞，导致所有引用他们的帖子中生成大量重复内容。

## 影响版本
- stable分支：3.1.3版本之前
- beta和tests-passed分支：3.2.0.beta3版本之前

## 细节
当用户全名包含`|`字符且被其他用户引用时，更新其全名可能会触发一个Bug，导致所有引用他们的帖子中生成大量重复内容。此问题从3.1.3（stable分支）和3.2.0.beta3（beta和tests-passed分支）版本开始修复。已知无法通过其他方法解决此问题，但可以通过限制全名字段只允许使用字母数字字符来防止问题进一步恶化。

## 影响
此漏洞可能导致大量重复内容在引用受影响用户的帖子中自动生成，从而影响到社区的讨论秩序和用户体验。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Discourse vulnerable to DoS via Regexp Injection in Full Name

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Discourse is an open source platform for community discussion. Prior to version 3.1.3 of the `stable` branch and version 3.2.0.beta3 of the `beta` and `tests-passed` branches, if a user has been quoted and uses a `|` in their full name, they might be able to trigger a bug that generates a lot of duplicate content in all the posts they've been quoted by updating their full name again. Version 3.1.3 of the `stable` branch and version 3.2.0.beta3 of the `beta` and `tests-passed` branches contain a patch for this issue. No known workaround exists, although one can stop the "bleeding" by ensuring users only use alphanumeric characters in their full name field.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Discourse 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Discourse是一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。 Discourse 3.1.3 版本之前存在安全漏洞，该漏洞源于如果用户的全名中使用了“|”，同时该用户被引用，在该用户更新其全名时会在他们被引用的帖子中生成大量内容。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-45806 的公开POC

#	POC 描述	源链接	神龙链接
1	None	https://github.com/pikariop/yksivaihde-CVE-2023-45806	POC详情
2	None	https://github.com/yksivaihde/discourse-CVE-2023-45806	POC详情

三、漏洞 CVE-2023-45806 的情报信息

https://github.com/discourse/discourse/security/advisories/GHSA-hcgf-hg2g-mw78 x_refsource_CONFIRM
https://github.com/discourse/discourse/commit/2ec25105179199cf80912bf011c18b8b870e1863 x_refsource_MISC
https://github.com/discourse/discourse/commit/7d484864fe91ff79c478f57e7ddb1235d701921e x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2023-45806

四、漏洞 CVE-2023-45806 的评论

暂无评论

一、 漏洞 CVE-2023-45806 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-45806 的公开POC

三、漏洞 CVE-2023-45806 的情报信息

四、漏洞 CVE-2023-45806 的评论

发表评论

一、漏洞 CVE-2023-45806 基础信息