Discourse — это дискуссионная платформа с открытым исходным кодом. Начиная с версий 2026.1.0-последней до 2026.1.3, 2026.2.0-последней до 2026.2.2 и 2026.3.0-последней до 2026.3.0, аутентифицированный пользователь на уровне модератора мог получать содержимое сообщений, заголовки тем и имена пользователей из категорий, на просмотр которых им не было разрешено. Недостаточный контроль доступа на конечной точке анализа настроений позволил обойти границы разрешений категорий.
Эта проблема исправлена в версиях 2026.1.3, 2026.2.2 и 2026.3.0.
Показать оригинальное описание (EN)
Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.3, 2026.2.0-latest to before 2026.2.2, and 2026.3.0-latest to before 2026.3.0, an authenticated moderator-level user could retrieve post content, topic titles, and usernames from categories they were not authorized to view. Insufficient access controls on a sentiment analytics endpoint allowed category permission boundaries to be bypassed. This issue has been patched in versions 2026.1.3, 2026.2.2, and 2026.3.0.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:latest:*:*:*
|
2026.1.0
|
2026.1.3
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:latest:*:*:*
|
2026.2.0
|
2026.2.2
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:*
|
— | — |
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest.1:*:*:*
|
— | — |