Discourse — дискуссионная платформа с открытым исходным кодом. До версий 2025.12.2, 2026.1.1 и 2026.2.0 post_nearby проверял доступ к теме, но затем возвращал все сообщения независимо от типа, включая шепоты, которые должны быть видны только тем, кто говорит шепот. Используйте Post.secured(guardian) для правильной фильтрации типов сообщений на основе разрешений пользователя.
Версии 2025.12.2, 2026.1.1 и 2026.2.0 устраняют проблему. Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, `posts_nearby` was checking topic access but then returning all posts regardless of type, including whispers that should only be visible to whisperers. Use `Post.secured(guardian)` to properly filter post types based on user permissions. Versions 2025.12.2, 2026.1.1, and 2026.2.0 patch the issue. No known workarounds are available.
Характеристики атаки
Последствия
Строка CVSS v4.0