Vulnerability Details : CVE-2023-38498
Discourse is an open source discussion platform. Prior to version 3.0.6 of the `stable` branch and version 3.1.0.beta7 of the `beta` and `tests-passed` branches, a malicious user can prevent the defer queue from proceeding promptly on sites hosted in the same multisite installation. The issue is patched in version 3.0.6 of the `stable` branch and version 3.1.0.beta7 of the `beta` and `tests-passed` branches. There are no known workarounds for this vulnerability. Users of multisite configurations should upgrade.
Products affected by CVE-2023-38498
- cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:*
- cpe:2.3:a:discourse:discourse:1.1.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.1.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.1.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.1.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.1.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.1.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.1.0:beta6b:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.1.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.1.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.2.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.2.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.2.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.2.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.2.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.2.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.2.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.2.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.2.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.3.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta12:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.4.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta12:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta13:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta13b:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta14:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.5.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta12:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.6.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.7.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta12:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta13:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.8.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta12:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta13:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta14:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta15:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta16:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta17:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:1.9.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.0.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.0.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.0.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.0.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.0.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.0.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.0.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.0.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.0.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.0.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.1.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.1.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.1.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.1.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.1.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.1.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.2.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.2.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.2.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.2.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.2.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.2.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.2.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.2.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.2.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.2.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.3.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.4.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.5.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.5.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.5.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.5.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.5.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.5.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.5.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.6.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.6.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.6.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.6.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.6.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.6.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.7.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.7.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.7.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.7.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.7.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.7.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.7.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.7.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.7.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.8.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta10:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta11:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta12:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta13:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta14:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta4:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta6:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta7:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta8:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:2.9.0:beta9:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:3.0.0:beta15:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:3.1.0:beta1:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:3.0.0:beta16:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:3.1.0:beta2:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:3.1.0:beta3:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:3.1.0:beta5:*:*:beta:*:*:*
- cpe:2.3:a:discourse:discourse:3.1.0:beta6:*:*:beta:*:*:*
Exploit prediction scoring system (EPSS) score for CVE-2023-38498
0.07%
Probability of exploitation activity in the next 30 days
EPSS Score History
~ 32 %
Percentile, the proportion of vulnerabilities that are scored at or less
CVSS scores for CVE-2023-38498
Base Score | Base Severity | CVSS Vector | Exploitability Score | Impact Score | Score Source | First Seen |
---|---|---|---|---|---|---|
6.5
|
MEDIUM | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
2.8
|
3.6
|
NIST | |
4.3
|
MEDIUM | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
2.8
|
1.4
|
GitHub, Inc. |
CWE ids for CVE-2023-38498
-
The product does not properly control the allocation and maintenance of a limited resource, thereby enabling an actor to influence the amount of resources consumed, eventually leading to the exhaustion of available resources.Assigned by: security-advisories@github.com (Secondary)
-
The product allocates a reusable resource or group of resources on behalf of an actor without imposing any restrictions on the size or number of resources that can be allocated, in violation of the intended security policy for that actor.Assigned by:
- nvd@nist.gov (Primary)
- security-advisories@github.com (Secondary)
References for CVE-2023-38498
-
https://github.com/discourse/discourse/security/advisories/GHSA-wv29-rm3f-4g2j
DoS via defer queue · Advisory · discourse/discourse · GitHubVendor Advisory
-
https://github.com/discourse/discourse/commit/26e267478d785e2f32ee7da4613e2cf4a65ff182
SECURITY: Don't allow a particular site to monopolize the defer queue · discourse/discourse@26e2674 · GitHubPatch
Jump to