CVE-2023-46241`discourse-microsoft-auth` — это плагин, который обеспечивает аутентификацию через Microsoft. На сайтах с включенным плагином `discourse-microsoft-auth` злоумышленник может потенциально получить контроль над учетной записью Discourse жертвы. Сайты, которые настроили тип учетной записи своего приложения на любой вариант, отличный от `Только учетные записи в этом организационном каталоге (только O365 — один клиент)`, уязвимы. Эта уязвимость была исправлена в коммите c40665f44509724b64938c85def9fb2e79f62ec8 `discourse-microsoft-auth`. Также была добавлена задача rake `microsoft_auth:revoke`, которая деактивирует и выйдет из всех пользователей, подключивших свои учетные записи к Microsoft. Ключи API пользователя, а также ключи API, созданные этими пользователями, также будут отозваны. Задача rake также удалит записи подключения к Microsoft для этих пользователей. Это позволит затронутым пользователям повторно подтвердить свои адреса электронной почты учетной записи, а также повторно подключить свою учетную запись Discourse для аутентификации. В качестве обходного пути отключите плагин `discourse-microsoft-auth`, установив для параметра сайта `microsoft_auth_enabled` значение `false`. Запустите задачу rake `microsoft_auth:log_out_users`, чтобы выйти из всех пользователей, связанных с учетными записями Microsoft.