CVE-2026-33300 Discourse — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,3 (MEDIUM)
Уязвимые версии	2026.1.0 — 2026.2.2
Устранено в версии	2026.1.3
Тип уязвимости	CWE-200 (Раскрытие информации)
Поставщик	Discourse
Публичный эксплойт	Нет

Discourse — это дискуссионная платформа с открытым исходным кодом. В версиях от 2026.1.0-последней до 2026.1.3, 2026.2.0-последней до 2026.2.2 и 2026.3.0-последней до 2026.3.0 обход авторизации в действии show Контроллера категорий Chatables позволял модераторам получать информацию об именах скрытых групп и количестве пользователей. Эта проблема исправлена в версиях 2026.1.3, 2026.2.2 и 2026.3.0.

Показать оригинальное описание (EN)

Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.3, 2026.2.0-latest to before 2026.2.2, and 2026.3.0-latest to before 2026.3.0, an authorization bypass in the Category Chatables Controller show action allowed moderators to get information on hidden groups names and user count. This issue has been patched in versions 2026.1.3, 2026.2.2, and 2026.3.0.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Не требуются

Нет дополнительных условий

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Низкое

Частичная утечка данных

Целостность

Нет

Нет модификации данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)

Уязвимые продукты 4

Конфигурация	От (включительно)	До (исключительно)
Discourse Discourse cpe:2.3:a:discourse:discourse:::::latest:::*	`2026.1.0`	`2026.1.3`
Discourse Discourse cpe:2.3:a:discourse:discourse:::::latest:::*	`2026.2.0`	`2026.2.2`
Discourse Discourse cpe:2.3:a:discourse:discourse:2026.3.0::::latest:::	—	—
Discourse Discourse cpe:2.3:a:discourse:discourse:2026.3.0::::latest.1:::	—	—