CVE-2026-44786
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 - wyżej niż 15% wszystkich znanych CVE
Streszczenie
Discourse to otwartoźródłowa platforma dyskusyjna, w której występuje luka w wersjach od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1. Wydarzenia czatu dla publicznych kanałów kategorii są publikowane do MessageBus bez odpowiednich uprawnień, co pozwala na odbieranie wiadomości czatu przez subskrybentów bez włączonego czatu w czasie rzeczywistym.
Ocena ryzyka
Organizacja może być narażona na ujawnienie prywatnych wiadomości czatu, co może prowadzić do naruszenia prywatności użytkowników oraz utraty zaufania do platformy.
Rekomendacja
Zaleca się aktualizację Discourse do wersji 2026.1.4, 2026.3.1, 2026.4.1 lub 2026.5.0-latest.1, aby usunąć tę lukę.
Oryginalny opis (angielski, źródło NVD)
Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, chat events for public category channels are published to MessageBus without permission scoping, so any MessageBus subscriber without chat enabled could receive chat message payloads in real time. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.

