CVE-2026-26265

Nome do Software Vulnerável e Versões Afetadas Versões do Discourse anteriores a 2025.12.2 Versões do Discourse anteriores a 2026.1.1 Versões do Discourse anteriores a 2026.2.0

Descrição O Discourse é uma plataforma de discussão de código aberto. Uma vulnerabilidade IDOR existe no endpoint de itens do diretório, permitindo acesso não autorizado aos valores dos campos privados de usuários para todos os usuários no diretório. O parâmetro user field ids na função DirectoryItemsController#index não aplica verificações de autorização adequadas, contornando as restrições de visibilidade. Isso permite que um atacante solicite dados usando o endpoint da API /directory items.json com o parâmetro user field ids e recupere informações sensíveis, como números de telefone e endereços, para todos os usuários. O problema é resolvido filtrando user field ids em relação a UserField.public fields para usuários não administrativos.

Recomendações Atualize o Discourse para a versão 2025.12.2 ou posterior. Atualize o Discourse para a versão 2026.1.1 ou posterior. Atualize o Discourse para a versão 2026.2.0 ou posterior. Como medida temporária, os administradores do site podem remover dados sensíveis dos campos de usuário privados. Como medida temporária, os administradores do site podem desativar o diretório de usuários por meio da configuração do site enable user directory.