Katalog CVE

CVE-2026-47263

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Discourse to otwartoźródłowa platforma dyskusyjna, w której wystąpiła podatność w wersjach od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1. Wywołanie MessageBus.publish dla /web_hook_events/<id> w Jobs::RedeliverWebHookEvents nie przekazywało group_ids, co umożliwiało dostęp do kanału każdemu uwierzytelnionemu użytkownikowi (lub anonimowemu, gdy logowanie było wyłączone).

Ocena ryzyka

Ryzyko polega na tym, że poufne dane mogą być dostępne dla nieautoryzowanych użytkowników, co może prowadzić do wycieku informacji i naruszenia prywatności. Organizacje mogą być narażone na ataki, które wykorzystują tę podatność.

Rekomendacja

Zaleca się aktualizację Discourse do wersji 2026.1.4, 2026.3.1, 2026.4.1 lub 2026.5.0-latest.1, aby usunąć tę podatność. Należy również rozważyć włączenie wymogu logowania dla wszystkich użytkowników.

Oryginalny opis (angielski, źródło NVD)

Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, the MessageBus.publish call for /web_hook_events/<id> in Jobs::RedeliverWebHookEvents did not pass group_ids, leaving the channel readable by any authenticated user (or anonymous user on instances where login_required is disabled). Webhook IDs are sequential integers and trivially enumerable. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS