PT-2026-29319 · Discourse · Discourse
Davidtaylorhq
·
Publicado
2026-03-31
·
Atualizado
2026-04-07
·
CVE-2026-33415
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Name of the Vulnerable Software and Affected Versions
Discourse versões 2026.1.0 através de 2026.1.2, 2026.2.0 através de 2026.2.1, e 2026.3.0 através de 2026.3.0
Description
Discourse, uma plataforma de discussão de código aberto, possuía controles de acesso insuficientes em um endpoint de análise de sentimento. Isso permitiu que um usuário autenticado com nível de moderador ignorasse as fronteiras de permissão da categoria e recuperasse o conteúdo das postagens, os títulos dos tópicos e os nomes de usuário de categorias que não tinham permissão para visualizar.
Recommendations
Atualize para a versão 2026.1.3 ou posterior do Discourse.
Atualize para a versão 2026.2.2 ou posterior do Discourse.
Atualize para a versão 2026.3.0 ou posterior do Discourse.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Discourse