一、 漏洞 CVE-2024-47773 基础信息
漏洞信息
# 通过 Discourse 中的 XHR 请求进行匿名缓存中毒
## 漏洞概述
Discourse 是一个开源社区讨论平台。攻击者可以通过发送多个 XHR 请求,使缓存中毒,导致缓存中没有预加载数据。此问题仅影响网站的匿名访问者。
## 影响版本
最新版本已修复此问题,但未指定受影响的具体版本范围。
## 细节
攻击者通过发送多个 XHR 请求,可以使缓存中毒,缓存中不会包含预加载数据。这将导致匿名用户访问时无法获得正确的数据。
## 影响
- 影响所有使用早于修复版本的 Discourse 平台。
- 匿名访问者受到影响,可能无法获得正确的数据。
- 建议用户升级至最新版本。
- 无法升级的用户,可通过设置环境变量 `DISCOURSE_DISABLE_ANON_CACHE` 为非空值来禁用匿名缓存。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Anonymous cache poisoning via XHR requests in Discourse
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Discourse is an open source platform for community discussion. An attacker can make several XHR requests until the cache is poisoned with a response without any preloaded data. This issue only affects anonymous visitors of the site. This problem has been patched in the latest version of Discourse. Users are advised to upgrade. Users unable to upgrade should disable anonymous cache by setting the `DISCOURSE_DISABLE_ANON_CACHE` environment variable to a non-empty value.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
资源在另一范围的外部可控制索引
来源:美国国家漏洞数据库 NVD
漏洞标题
Discourse 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Discourse是Discourse开源的一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。 Discourse存在安全漏洞。攻击者可以发出多个 XHR 请求,直到缓存被一个没有任何预加载数据的响应污染。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47773 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/ibrahmsql/CVE-2024-47773 | POC详情 |
三、漏洞 CVE-2024-47773 的情报信息
-
标题: Anonymous cache poisoning via XHR requests · Advisory · discourse/discourse · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-47773
四、漏洞 CVE-2024-47773 的评论
暂无评论