anonhaven

CVE-2026-26207

MEDIUM CVSS 3.1: 5,4 EPSS 0.03%
Обновлено 27 февраля 2026
Discourse
Параметр Значение
CVSS 5,4 (MEDIUM)
Тип уязвимости CWE-862 (Отсутствие авторизации)
Поставщик Discourse
Публичный эксплойт Нет

Discourse — дискуссионная платформа с открытым исходным кодом. До версий 2025.12.2, 2026.1.1 и 2026.2.0 плагин discourse-policy позволял любому аутентифицированному пользователю взаимодействовать с политиками в сообщениях, на просмотр которых у него нет разрешения. «PolicyController» загружает сообщения по идентификатору без проверки доступа текущего пользователя, позволяя членам группы политик принимать/отклонять политики для сообщений в частных категориях или личных сообщениях, которые они не могут видеть, а также любому аутентифицированному пользователю перечислять, к каким идентификаторам сообщений прикреплены политики, посредством дифференцированных ответов об ошибках (раскрытие информации). Проблема исправлена ​​в версиях 2025.12.2, 2026.1.1 и 2026.2.0 путем добавления проверки `guardian.can_see?(@post)` в `set_post` before_action, гарантирующей, что видимость публикации проверяется перед обработкой любого действия политики.

В качестве обходного пути отключение плагина discourse-policy (`policy_enabled = false`) устраняет уязвимость. Другого решения без обновления нет.

Показать оригинальное описание (EN)

Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, `discourse-policy` plugin allows any authenticated user to interact with policies on posts they do not have permission to view. The `PolicyController` loads posts by ID without verifying the current user's access, enabling policy group members to accept/unaccept policies on posts in private categories or PMs they cannot see and any authenticated user to enumerate which post IDs have policies attached via differentiated error responses (information disclosure). The issue is patched in versions 2025.12.2, 2026.1.1, and 2026.2.0 by adding a `guardian.can_see?(@post)` check in the `set_post` before_action, ensuring post visibility is verified before any policy action is processed. As a workaround, disabling the discourse-policy plugin (`policy_enabled = false`) eliminates the vulnerability. There is no other workaround without upgrading.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-862 Missing Authorization (Отсутствие авторизации)

Ссылки 1

https://github.com/discourse/discourse/security/advisories/GHSA-jr4h-w6p5-w55r
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-34947

Discourse

2,7

CVE-2026-27481

Discourse

6,3

CVE-2026-33415

Discourse

5,1

CVE-2026-33300

Discourse

5,3

CVE-2026-33185

Discourse

5,3