Discourse — это дискуссионная платформа с открытым исходным кодом. Начиная с версий 2026.1.0-последней до 2026.1.3, 2026.2.0-последней до 2026.2.2 и 2026.3.0-последней до 2026.3.0, пользователи, не являющиеся сотрудниками, могли получить доступ к информации о прочтении сообщений, предназначенных только для сотрудников, которые они не должны были видеть. Содержание сообщения не было раскрыто, только метаданные о том, кто и когда прочитал сообщение.
Эта проблема исправлена в версиях 2026.1.3, 2026.2.2 и 2026.3.0.
Показать оригинальное описание (EN)
Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.3, 2026.2.0-latest to before 2026.2.2, and 2026.3.0-latest to before 2026.3.0, non-staff users could access read receipt information for staff-only posts they weren't supposed to see. No post content was exposed, only metadata about who read the post and when. This issue has been patched in versions 2026.1.3, 2026.2.2, and 2026.3.0.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:latest:*:*:*
|
2026.1.0
|
2026.1.3
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:latest:*:*:*
|
2026.2.0
|
2026.2.2
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:*
|
— | — |
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest.1:*:*:*
|
— | — |