CVE-2026-32615 Discourse — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,3 (MEDIUM)
Уязвимые версии	2026.1.0 — 2026.2.2
Устранено в версии	2026.1.3
Тип уязвимости	CWE-285 (Некорректная авторизация)
Поставщик	Discourse
Публичный эксплойт	Нет

Discourse — это дискуссионная платформа с открытым исходным кодом. Начиная с версий 2026.1.0-последней до 2026.1.3, 2026.2.0-последней до 2026.2.2 и 2026.3.0-последней до 2026.3.0, модераторы групп категорий могли выполнять привилегированные действия над темами внутри частных категорий, к которым у них не было доступа для чтения. Эта проблема исправлена в версиях 2026.1.3, 2026.2.2 и 2026.3.0.

Показать оригинальное описание (EN)

Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.3, 2026.2.0-latest to before 2026.2.2, and 2026.3.0-latest to before 2026.3.0, category group moderators could perform privileged actions on topics inside private categories they did not have read access to. This issue has been patched in versions 2026.1.3, 2026.2.2, and 2026.3.0.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Не требуются

Нет дополнительных условий

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Низкое

Частичная утечка данных

Целостность

Низкое

Частичная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-285 Improper Authorization (Некорректная авторизация)

Уязвимые продукты 4

Конфигурация	От (включительно)	До (исключительно)
Discourse Discourse cpe:2.3:a:discourse:discourse:::::latest:::*	`2026.1.0`	`2026.1.3`
Discourse Discourse cpe:2.3:a:discourse:discourse:::::latest:::*	`2026.2.0`	`2026.2.2`
Discourse Discourse cpe:2.3:a:discourse:discourse:2026.3.0::::latest:::	—	—
Discourse Discourse cpe:2.3:a:discourse:discourse:2026.3.0::::latest.1:::	—	—