CVE-2026-45775
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
W Discourse, platformie do dyskusji, występuje podatność na przejście ścieżki w obsłudze kopii zapasowych, która pozwala uwierzytelnionemu administratorowi na jednym z serwisów w wieloserwisowej instalacji na dostęp do plików kopii zapasowych innego serwisu. Problem dotyczy wersji od 2026.1.0 do przed 2026.1.4, od 2026.3.0 do przed 2026.3.1 oraz od 2026.4.0 do przed 2026.4.1.
Ocena ryzyka
Organizacja może być narażona na wyciek wrażliwych danych, jeśli administratorzy mają dostęp do wielu serwisów w tej samej instalacji, co może prowadzić do nieautoryzowanego dostępu do danych z innych serwisów.
Rekomendacja
Zaleca się aktualizację Discourse do wersji 2026.1.4, 2026.3.1, 2026.4.1 lub 2026.5.0-latest.1, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, a path traversal vulnerability in Discourse backup handling could allow an authenticated administrator on one site in a multisite deployment to access backup files belonging to another site when backups are stored locally. In affected configurations, an admin on Site A could potentially retrieve sensitive backup data from Site B (same host, multisite) by crafting a backup download request with a traversal payload. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.

