anonhaven

CVE-2026-33410

MEDIUM CVSS 3.1: 5,4 EPSS 0.03%
Обновлено 24 марта 2026
Discourse
Параметр Значение
CVSS 5,4 (MEDIUM)
Уязвимые версии 2026.1.0 — 2026.2.1
Устранено в версии 2026.1.2
Тип уязвимости CWE-863 (Неправильная авторизация)
Поставщик Discourse
Публичный эксплойт Нет

Discourse — это дискуссионная платформа с открытым исходным кодом. В версиях до 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 есть две проблемы с авторизацией в API прямых сообщений чата. Во-первых, при создании прямого канала сообщений или добавлении пользователей в существующий параметр target_groups передавался непосредственно в запрос разрешения пользователя без проверки видимости группы или члена для действующего пользователя.

Аутентифицированный пользователь чата может создать запрос API с известным именем частной/скрытой группы и получить канал, содержащий участников этой группы, раскрывая их личности. Во-вторых, `can_chat?` проверял только членство в группе, а не предпочтения пользователя `chat_enabled`. Пользователь с отключенным чатом может создавать или запрашивать каналы DM между другими пользователями через API прямых сообщений, потенциально раскрывая частный контент «last_message» из сериализованного ответа канала.

Версии 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 содержат исправление. Никаких известных обходных путей не существует.

Показать оригинальное описание (EN)

Discourse is an open-source discussion platform. Versions prior to 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 have two authorization issues in the chat direct message API. First, when creating a direct message channel or adding users to an existing one, the `target_groups` parameter was passed directly to the user resolution query without checking group or member visibility for the acting user. An authenticated chat user could craft an API request with a known private/hidden group name and receive a channel containing that group's members, leaking their identities. Second, `can_chat?` only checked group membership, not the `chat_enabled` user preference. A chat-disabled user could create or query DM channels between other users via the direct messages API, potentially exposing private `last_message` content from the serialized channel response. Versions 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 contain a patch. No known workarounds are available.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Уязвимые продукты 3

Конфигурация От (включительно) До (исключительно)
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:*
 2026.1.0 2026.1.2
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:*
 2026.2.0 2026.2.1
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:*

Ссылки 1

https://github.com/discourse/discourse/security/advisories/GHSA-2m5j-6v2r-cq2h
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33415

Discourse

5,1

CVE-2026-33300

Discourse

5,3

CVE-2026-33185

Discourse

5,3

CVE-2026-33074

Discourse

6,3

CVE-2026-33073

Discourse

2,0