CVE-2026-26265 in Discourseالمعلومات

الملخص

بحسب VulDB • 24/06/2026

Discourse هو منصة نقاش مفتوحة المصدر. قبل الإصدارات 2025.12.2 و 2026.1.1 و 2026.2.0، تتيح ثغرة IDOR في نقطة نهاية عناصر الدليل (directory items endpoint) لأي مستخدم، بما في ذلك المستخدمون المجهولون، استرجاع قيم الحقول الخاصة بالمستخدمين لجميع المستخدمين الموجودين في الدليل. يقبل المعلمة `user_field_ids` في `DirectoryItemsController#index` معرفات حقول المستخدمين التعسفية دون إجراء فحوصات تفويض، متجاوزاً بذلك قيود الظهور (`show_on_profile` / `show_on_user_card`) التي يتم فرضها في أماكن أخرى (على سبيل المثال، عبر `UserCardSerializer` باستخدام `Guardian#allowed_user_field_ids`). يمكن لمهاجم طلب `GET /directory_items.json?period=all&user_field_ids=<id>` بأي معرف حقل خاص والحصول على قيمة هذا الحقل لكل مستخدم في استجابة الدليل. يتيح ذلك استخراج كميات كبيرة من بيانات المستخدمين الخاصة مثل أرقام الهواتف والعناوين أو حقول مخصصة حساسة أخرى قام المسؤولون بتكوينها صراحةً لتكون غير عامة. تم إصلاح هذه المشكلة في الإصدارات 2025.12.2 و 2026.1.1 و 2026.2.0 من خلال تصفية `user_field_ids` مقابل `UserField.public_fields` للمستخدمين الذين لا ينتمون إلى طاقم العمل قبل بناء خريطة الحقول المخصصة. كحل بديل، يمكن لمسؤولي الموقع إزالة البيانات الحساسة من حقول المستخدمين الخاصة، أو تعطيل دليل المستخدمين عبر إعداد الموقع `enable_user_directory`.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

12/02/2026

إفشاء

26/02/2026

الاعتدال

تمت الموافقة

إدخال

VDB-348001

EPSS

0.00266

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!