Katalog CVE

CVE-2026-44782

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

Discourse to otwarta platforma dyskusyjna, w której występuje błąd w serializacji atrybutu :name w GroupPostSerializer. Błąd polega na tym, że niewłaściwie nazwany predykat include_user_long_name? nie był wywoływany, co skutkowało zawsze serializowaniem object.user.name, niezależnie od ustawienia SiteSetting.enable_names.

Ocena ryzyka

Organizacje mogą być narażone na ujawnienie danych użytkowników, ponieważ imię użytkownika jest zawsze serializowane, co może prowadzić do nieautoryzowanego dostępu do informacji osobistych.

Rekomendacja

Zaleca się aktualizację Discourse do wersji 2026.1.4, 2026.3.1, 2026.4.1 lub 2026.5.0-latest.1, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, GroupPostSerializer declared include_user_long_name? as the predicate for its :name attribute, but AMS looks for include_name?. The misnamed predicate was never called, so object.user.name was always serialized regardless of SiteSetting.enable_names. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS