Discourse — это дискуссионная платформа с открытым исходным кодом. Версии до 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 имеют уязвимость в конечной точке API, которая раскрывает метаданные частных тем пользователей-администраторов пользователям-модераторам, даже если модераторы не имеют доступа к частным темам. Версии 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 содержат исправление.
Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
Discourse is an open-source discussion platform. Versions prior to 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 have a vulnerability in an API endpoint that discloses private topic metadata of admin users to moderator users even if the moderators do not have access to the private topics. Versions 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 contain a patch. No known workarounds are available.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:*
|
2026.1.0
|
2026.1.2
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:*
|
2026.2.0
|
2026.2.1
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:*
|
— | — |