CVE-2026-33355 Discourse — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	6,5 (MEDIUM)
Уязвимые версии	2026.1.0 — 2026.2.1
Устранено в версии	2026.1.2
Тип уязвимости	CWE-200 (Раскрытие информации)
Поставщик	Discourse
Публичный эксплойт	Нет

Discourse — это дискуссионная платформа с открытым исходным кодом. До версий 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 конечная точка `/private-posts` не применяла фильтрацию видимости по типу сообщений, что позволяло обычным участникам личных сообщений видеть шепотом сообщения в темах личных сообщений, к которым у них был доступ. Версии 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 содержат исправление.

Никаких известных обходных путей не существует.

Показать оригинальное описание (EN)

Discourse is an open-source discussion platform. Prior to versions 2026.3.0-latest.1, 2026.2.1, and 2026.1.2, the `/private-posts` endpoint did not apply post-type visibility filtering, allowing regular PM participants to see whisper posts in PM topics they had access to. Versions 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 contain a patch. No known workarounds are available.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Нет

Нет модификации данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)

Уязвимые продукты 3

Конфигурация	От (включительно)	До (исключительно)
Discourse Discourse cpe:2.3:a:discourse:discourse::::::::	`2026.1.0`	`2026.1.2`
Discourse Discourse cpe:2.3:a:discourse:discourse::::::::	`2026.2.0`	`2026.2.1`
Discourse Discourse cpe:2.3:a:discourse:discourse:2026.3.0::::latest:::	—	—