CVE-2025-58055

Nome do Software Vulnerável e Versões Afetadas Versões do Discourse 3.5.0 e anteriores

Descrição O Discourse, uma plataforma de discussão comunitária de código aberto, apresentou um problema no qual usuários autenticados podiam acessar informações sobre tópicos que não estavam autorizados a visualizar. Isso ocorreu através dos endpoints de sugestão de IA para "Título", "Categoria" e "Tags" do tópico. Ao modificar o valor topic id nas requisições de API para esses endpoints, os usuários podiam direcionar tópicos restritos específicos. As respostas do modelo de IA, então, divulgavam informações às quais o usuário autenticado não deveria ter acesso. Os endpoints de API afetados são utilizados para sugestões de IA relacionadas a tópicos.

Recomendações Atualize para a versão 3.5.1 ou posterior. Restrinja o acesso de grupos à funcionalidade de auxiliar de IA através das configurações de site "composer ai helper allowed groups" e "post ai helper allowed groups".