Katalog CVE

CVE-2026-44785

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

W platformie dyskusyjnej Discourse występuje luka, która pozwala uwierzytelnionym użytkownikom na dostęp do ukrytych treści rodzica postu poprzez użycie funkcji AI 'explain' na odpowiedzi do tego postu. Problem ten dotyczy wersji od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1.

Ocena ryzyka

Organizacje mogą być narażone na ujawnienie poufnych informacji, jeśli użytkownicy z dostępem do funkcji AI będą mogli odczytać ukryte treści postów. Może to prowadzić do naruszenia prywatności i bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację Discourse do wersji 2026.1.4, 2026.3.1, 2026.4.1 lub 2026.5.0-latest.1, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, the AI "explain" helper only checks can_see? on the post being explained, not its reply_to_post, so any authenticated user with access to the AI helper could read the raw contents of a hidden parent post by invoking "Explain" on a reply to it. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS