9VSA21-00511-01 CSIRT alerta ante vulnerabilidad crítica en Discourse

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre una vulnerabilidad de riesgo crítico (10 en la escala de CVSS) en Discourse.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2021-41163

Impactos

CVE-2021-41163 permite, en las versiones afectadas, la ejecución remota de código, a través del envío de solicitudes maliciosas. Esto ocurre debido a una falta de validación en los valores subscribe_url.

Productos Afectados

Discourse 2.7.8 y anteriores.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://nvd.nist.gov/vuln/detail/CVE-2021-41163

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41163

https://github.com/discourse/discourse/commit/fa3c46cf079d28b086fe1025349bb00223a5d5e9

https://github.com/discourse/discourse

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00511-01.

9VSA21-00511-01 CSIRT alerta ante vulnerabilidad crítica en Discourse