CVE-2026-44783
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
W platformie dyskusyjnej Discourse występuje luka, która pozwala uwierzytelnionym użytkownikom spoza skonfigurowanych grup na publikowanie w kanałach szeptów przeznaczonych tylko dla personelu. Problem dotyczy wersji od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie poufnych informacji, ponieważ nieautoryzowane treści mogą być widoczne dla personelu w kanałach szeptów. Tylko witryny z włączonymi szeptami są dotknięte tą luką.
Rekomendacja
Zaleca się aktualizację do wersji 2026.1.4, 2026.3.1, 2026.4.1 lub 2026.5.0-latest.1, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, a flaw in how replies to whisper posts are handled allows authenticated users outside the groups configured in whispers_allowed_groups to post into a topic's staff-only whisper channel. The injected content is visible to whisperers (typically staff) alongside legitimate whispers. Only sites that have whispers enabled are affected. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.

