Discourse — это дискуссионная платформа с открытым исходным кодом. Начиная с версий 2026.1.0-последняя до 2026.1.3, 2026.2.0-последняя до 2026.2.2 и 2026.3.0-последняя до 2026.3.0, пользователи, потерявшие доступ к теме (например, удаленные из группы частных категорий), по-прежнему могли взаимодействовать с опросами в этой теме, включая голосование и переключение статуса опроса. Никакой контент не был раскрыт, но пользователи могли изменять состояние опроса в темах, к которым у них больше не должно быть доступа.
Эта проблема исправлена в версиях 2026.1.3, 2026.2.2 и 2026.3.0.
Показать оригинальное описание (EN)
Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.3, 2026.2.0-latest to before 2026.2.2, and 2026.3.0-latest to before 2026.3.0, users who lost access to a topic (e.g., removed from a private category group) could still interact with polls in that topic, including voting and toggling poll status. No content was exposed, but users could modify poll state in topics they should no longer have access to. This issue has been patched in versions 2026.1.3, 2026.2.2, and 2026.3.0.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:latest:*:*:*
|
2026.1.0
|
2026.1.3
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:latest:*:*:*
|
2026.2.0
|
2026.2.2
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:*
|
— | — |
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest.1:*:*:*
|
— | — |