Katalog CVE

CVE-2026-44783

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

W platformie dyskusyjnej Discourse występuje luka, która pozwala uwierzytelnionym użytkownikom spoza skonfigurowanych grup na publikowanie w kanałach szeptów przeznaczonych tylko dla personelu. Problem dotyczy wersji od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1.

Ocena ryzyka

Organizacje mogą być narażone na ujawnienie poufnych informacji, ponieważ nieautoryzowane treści mogą być widoczne dla personelu w kanałach szeptów. Tylko witryny z włączonymi szeptami są dotknięte tą luką.

Rekomendacja

Zaleca się aktualizację do wersji 2026.1.4, 2026.3.1, 2026.4.1 lub 2026.5.0-latest.1, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, a flaw in how replies to whisper posts are handled allows authenticated users outside the groups configured in whispers_allowed_groups to post into a topic's staff-only whisper channel. The injected content is visible to whisperers (typically staff) alongside legitimate whispers. Only sites that have whispers enabled are affected. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS