Discourse — дискуссионная платформа с открытым исходным кодом. До версий 2025.12.2, 2026.1.1 и 2026.2.0 несколько конечных точек веб-перехватчика (SendGrid, Mailjet, Mandrill, Postmark, SparkPost) в WebhooksController принимали запросы без действующего токена аутентификации, если токен не был настроен. Это позволило злоумышленникам, не прошедшим проверку подлинности, подделать полезную нагрузку веб-перехватчика и искусственно завышать показатели отказов пользователей, что потенциально могло привести к отключению законных электронных писем пользователей.
Конечная точка Mailpace вообще не имела проверки токена. Начиная с версий 2025.12.2, 2026.1.1 и 2026.2.0, все конечные точки веб-перехватчиков отклоняют запросы с ответом 406, если токен аутентификации не настроен. В качестве обходного пути убедитесь, что токены аутентификации веб-перехватчика настроены для всех интеграций поставщика электронной почты в настройках сайта (например, sendgrid_verification_key, mailjet_webhook_token, postmark_webhook_token, Sparkpost_webhook_token).
До получения этого исправления в настоящее время не существует обходного пути для mailpace.
Показать оригинальное описание (EN)
Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, several webhook endpoints (SendGrid, Mailjet, Mandrill, Postmark, SparkPost) in the `WebhooksController` accepted requests without a valid authentication token when no token was configured. This allowed unauthenticated attackers to forge webhook payloads and artificially inflate user bounce scores, potentially causing legitimate user emails to be disabled. The Mailpace endpoint had no token validation at all. Starting in versions 2025.12.2, 2026.1.1, and 2026.2.0, all webhook endpoints reject requests with a 406 response when no authentication token is configured. As a workaround, ensure that webhook authentication tokens are configured for all email provider integrations in site settings (e.g., `sendgrid_verification_key`, `mailjet_webhook_token`, `postmark_webhook_token`, `sparkpost_webhook_token`). There's no current workaround for mailpace before getting this fix.
Характеристики атаки
Последствия
Строка CVSS v3.1