Discourse — это дискуссионная платформа с открытым исходным кодом. Версии до 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 имеют недостаток безопасности в плагине политики обсуждения, который позволял пользователю с разрешением на создание политики получать доступ к членству в любых частных/ограниченных группах. После получения членства в частной/ограниченной группе пользователь сможет читать частные темы, к которым имеет доступ только группа.
Версии 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 содержат исправление. В качестве обходного пути просмотрите все политики на предмет использования «добавить пользователей в группу» и временно удалите этот атрибут из политики. Альтернативно отключите плагин discourse-policy, отключив настройку сайта «policy_enabled».
Показать оригинальное описание (EN)
Discourse is an open-source discussion platform. Versions prior to 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 have a security flaw in the discourse-policy plugin which allowed a user with policy creation permission to gain membership access to any private/restricted groups. Once membership to a private/restricted group has been obtained, the user will be able to read private topics that only the group has access to. Versions 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 contain a patch. As a workaround, review all policies for the use of `add-users-to-group` and temporarily remove the attribute from the policy. Alternatively, disable the discourse-policy plugin by disabling the `policy_enabled` site setting.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:*
|
2026.1.0
|
2026.1.2
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:*
|
2026.2.0
|
2026.2.1
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:*
|
— | — |