Discourse · Discourse · CVE-2021-43792
**Nome do software vulnerável e versões afetadas:
Versões do Discourse anteriores à 2.7.11
Descrição:
Uma vulnerabilidade afeta usuários de grupos de tags que utilizam o recurso “Tags são visíveis apenas para os seguintes grupos” no Discourse, uma plataforma de discussão de código aberto. Esse recurso permite que um grupo de tags restrinja a visibilidade de determinadas tags a grupos específicos, como a equipe. No entanto, se o status de grupo de um usuário for revogado, ele ainda poderá receber notificações relacionadas à tag, mesmo que não possa mais visualizá-la em cada tópico.
Recomendações:
Para versões anteriores à 2.7.11, atualize para a versão 2.7.11 ou posterior o mais rápido possível para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `/preferences/tags` para usuários cujo status de equipe tenha sido revogado, até que a atualização possa ser aplicada.