Discourse — это дискуссионная платформа с открытым исходным кодом. До версий 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 неаутентифицированный злоумышленник может заставить легитимную страницу авторизации Discourse отображать домен, контролируемый злоумышленником, что облегчает атаки социальной инженерии против пользователей. Версии 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 содержат исправление.
Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
Discourse is an open-source discussion platform. Prior to versions 2026.3.0-latest.1, 2026.2.1, and 2026.1.2, an unauthenticated attacker can cause a legitimate Discourse authorization page to display an attacker-controlled domain, facilitating social engineering attacks against users. Versions 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 contain a patch. No known workarounds are available.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:*
|
2026.1.0
|
2026.1.2
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:*
|
2026.2.0
|
2026.2.1
|
|
Discourse Discourse
cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:*
|
— | — |