用户希望我总结网页截图中的漏洞信息。 我需要提取以下关键信息: 1. 漏洞概述 (Overview): 标题、描述、影响。 2. 影响范围 (Impact/Scope): 受影响的软件、版本。 3. 修复方案 (Fix/Workarounds): 补丁版本、临时解决方案。 4. POC/Exploit: 检查是否有代码块。 分析截图内容: 标题: Stored XSS via unescaped assignee name (未转义的被分配者名称导致的存储型XSS) 软件: Discourse 受影响版本 (Affected versions): >= 0 (即所有版本), 具体提到 >= 2026.2.0 latest 和 >= 2026.1.0 latest (这里看起来像是CVSS计算或者版本范围的某种表示,实际上通常意味着所有版本直到修复版本)。仔细看,Affected versions 列写的是 ,下面两行是 和 。这有点奇怪,可能是指特定分支。但通常 意味着所有版本。 修复版本 (Patched versions): 2026.3.0, 2026.2.2, 2026.1.3。 描述 (Description): 当 设置启用时(默认启用,需要控制台访问才能更改),用户和组显示名称在几个与分配相关的URL路径中未进行HTML转义。这允许攻击者注入恶意HTML/JavaScript,在查看任何主题的浏览器中执行。 影响 (Impact): 受影响的URL路径包括主题中的被分配者标签、第一个被分配者指示器、小部件中的被分配者显示、移动页脚按钮和主题级别未分配名称。 临时方案 (Workarounds): 更新到最新版本。或者,如果插件已启用且 设置未手动启用,则不受影响。 CVSS: 2.1 / 10 (Low severity)。 代码: 截图中没有显示具体的POC代码块,只有文字描述。 构建总结 (Markdown格式): 漏洞名称: Stored XSS via unescaped assignee name 概述: 在Discourse中,当特定设置( )启用时,用户和组的显示名称在多个与“被分配者”(assignee)相关的URL路径中未进行HTML转义。这导致攻击者可以注入恶意HTML/JavaScript代码,当其他用户查看相关主题时,代码会在其浏览器中执行。 影响范围: 软件: Discourse 受影响版本: 所有版本 (>= 0),特别是 2026.2.0 和 2026.1.0 系列。 具体受影响路径: 主题中的被分配者标签、第一个被分配者指示器、小部件中的被分配者显示、移动页脚按钮、主题级别未分配名称。 修复方案: 更新到修复版本: 2026.3.0, 2026.2.2, 或 2026.1.3。 临时方案: 如果 设置未手动启用,则不受影响。 POC/Exploit: 截图中未包含具体的代码块。 最终检查: 确保语言简洁,符合用户要求的格式。 漏洞总结 漏洞名称: Stored XSS via unescaped assignee name (未转义的被分配者名称导致的存储型XSS) 漏洞概述: 在 Discourse 论坛软件中,当 设置启用时(默认启用,但需要控制台权限才能更改),用户和组的显示名称在多个与“被分配者”(assignee)相关的 URL 路径中未进行 HTML 转义。这允许攻击者注入恶意 HTML/JavaScript 代码,当任何用户查看相关主题时,代码会在其浏览器中执行。 影响范围: 受影响软件: Discourse 受影响版本: 所有版本(>= 0),具体包括 2026.2.0 和 2026.1.0 系列。 受影响路径: 主题中的被分配者标签 (assignee tags in topic lists) 第一个被分配者指示器 (first post assignment indicators) 小部件中的被分配者显示 (small assignee post descriptions) 移动页脚按钮 (mobile footer buttons) 主题级别未分配名称 (the topic-level unassign menu) 修复方案: 补丁版本: 升级到以下版本之一: 2026.3.0 2026.2.2 2026.1.3 临时方案 (Workarounds): 如果 插件已启用,且 设置未手动启用,则不受此漏洞影响。 POC/Exploit 代码: 截图中未包含具体的 POC 或利用代码块。