Discourse — дискуссионная платформа с открытым исходным кодом. Версии до 2025.12.2, 2026.1.1 и 2026.2.0 имеют IDOR (небезопасная прямая ссылка на объект) в ReviewableNotesController. Когда включена опция `enable_category_group_moderation`, пользователь, принадлежащий к группе модерации категории, может создавать или удалять свои собственные примечания к **любым** объектам проверки в системе, включая проверяемые материалы в категориях, которые он не модерирует.
Контроллер использовал `Reviewable.find` с незаданной областью действия, а защита `ensure_can_see` только проверяла, может ли пользователь получить доступ к очереди проверки в целом, а не может ли он получить доступ к конкретному проверяемому объекту. Затрагиваются только экземпляры с включенной `enable_category_group_moderation`. На штатных пользователей (администраторов/модераторов) это не повлияет, поскольку у них уже есть доступ ко всем материалам для проверки.
Проблема исправлена в версиях 2025.12.2, 2026.1.1 и 2026.2.0 путем ограничения проверяемого поиска через `Reviewable.viewable_by(current_user)`. В качестве обходного пути отключите настройку сайта `enable_category_group_moderation`. Это устраняет поверхность атаки, поскольку доступ к очереди проверки будут иметь только сотрудники.
Показать оригинальное описание (EN)
Discourse is an open source discussion platform. Versions prior to 2025.12.2, 2026.1.1, and 2026.2.0 have an IDOR (Insecure Direct Object Reference) in `ReviewableNotesController`. When `enable_category_group_moderation` is enabled, a user belonging to a category moderation group can create or delete their own notes on **any** reviewable in the system, including reviewables in categories they do not moderate. The controller used an unscoped `Reviewable.find` and the `ensure_can_see` guard only checked whether the user could access the review queue in general, not whether they could access the specific reviewable. Only instances with `enable_category_group_moderation` enabled are affected. Staff users (admins/moderators) are not impacted as they already have access to all reviewables. The issue is patched in versions 2025.12.2, 2026.1.1, and 2026.2.0 by scoping the reviewable lookup through `Reviewable.viewable_by(current_user)`. As a workaround, disable the `enable_category_group_moderation` site setting. This removes the attack surface as only staff users will have access to the review queue.
Характеристики атаки
Последствия
Строка CVSS v3.1