Discourse is an open source discussion platform. Prior to version 3.1.0.beta7 of the `beta` and `tests-passed` branches, a CSP (Content Security Policy) nonce reuse vulnerability was discovered could allow cross-site scripting (XSS) attacks to bypass CSP protection for anonymous (i.e. unauthenticated) users. There are no known XSS vectors at the moment, but should one be discovered, this vulnerability would allow the XSS attack to bypass CSP and execute successfully. This vulnerability isn't applicable to logged-in users. Version 3.1.0.beta7 contains a patch. The stable branch doesn't have this vulnerability. A workaround to prevent the vulnerability is to disable Google Tag Manager, i.e., unset the `gtm container id` setting.

Attack Vector Network

Attack Complexity Low

Privileges Required Low

Scope Changed

Confidentiality Impact Low

Integrity Impact Low

Availability Impact None

User Interaction Required

No CVSS v3.0

No CVSS v2

Vendors Products
Discourse
  • Discourse

Configuration 1 [-]

OR cpe:2.3:a:discourse:discourse:1.1.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.1.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.1.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.1.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.1.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.1.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.1.0:beta6b:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.1.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.1.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.2.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.2.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.2.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.2.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.2.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.2.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.2.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.2.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.2.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.3.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta12:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.4.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta12:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta13:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta13b:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta14:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.5.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta12:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.6.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.7.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta12:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta13:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.8.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta12:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta13:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta14:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta15:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta16:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta17:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:1.9.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.0.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.0.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.0.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.0.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.0.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.0.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.0.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.0.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.0.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.0.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.1.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.1.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.1.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.1.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.1.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.1.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.2.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.2.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.2.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.2.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.2.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.2.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.2.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.2.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.2.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.2.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.3.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.4.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.5.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.5.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.5.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.5.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.5.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.5.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.5.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.6.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.6.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.6.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.6.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.6.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.6.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.7.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.7.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.7.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.7.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.7.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.7.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.7.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.7.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.7.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.8.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta10:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta11:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta12:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta13:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta14:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta4:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta6:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta7:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta8:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:2.9.0:beta9:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:3.0.0:beta15:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:3.0.0:beta16:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:3.1.0:beta1:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:3.1.0:beta2:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:3.1.0:beta3:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:3.1.0:beta5:*:*:beta:*:*:*
cpe:2.3:a:discourse:discourse:3.1.0:beta6:*:*:beta:*:*:*
References
Link Resource
https://github.com/discourse/discourse/commit/0976c8fad6970b6182e7837bf87de07709407f25 Patch
https://github.com/discourse/discourse/security/advisories/GHSA-gr5h-hm62-jr3j Vendor Advisory
History

No history.

cve-icon MITRE Information

Status: PUBLISHED

Assigner: GitHub_M

Published: 2023-07-28T14:42:06.159Z

Updated: 2023-07-28T14:42:06.159Z

Reserved: 2023-07-06T13:01:36.998Z

Link: CVE-2023-37467

JSON object: View

cve-icon NVD Information

Status : Analyzed

Published: 2023-07-28T15:15:10.960

Modified: 2023-08-03T18:34:44.600

Link: CVE-2023-37467

JSON object: View

cve-icon Redhat Information

No data.

CWE