CVE-2025-68933 in Discourseinfo

Zusammenfassung

von VulDB • 06.06.2026

Discourse ist eine Open-Source-Diskussionsplattform. In Versionen vor 3.5.4, 2025.11.2, 2025.12.1 und 2026.1.0 können Moderatoren ohne Administratorrechte, bei denen die Einstellung `moderators_change_post_ownership` aktiviert ist, das Eigentum an Beiträgen in privaten Nachrichten und eingeschränkten Kategorien ändern, auf die sie keinen Zugriff haben, und deren Daten anschließend exportieren, um den Inhalt einzusehen. Dies ist eine Schwachstelle im Bereich der fehlerhaften Zugriffskontrolle (Broken Access Control), die Websites betrifft, die Moderatoren Berechtigungen zur Übertragung des Beitrags-Eigentums erteilen. Dieses Problem wurde in den Versionen 3.5.4, 2025.11.2, 2025.12.1 und 2026.1.0 behoben. Der Patch fügt Sichtbarkeitsprüfungen sowohl für das Thema als auch für die Beiträge hinzu, bevor die Eigentumsübertragung erlaubt wird. Als Workaround sollte die Site-Einstellung `moderators_change_post_ownership` deaktiviert werden, um zu verhindern, dass Moderatoren ohne Administratorrechte die Funktion zur Übertragung des Beitrags-Eigentums nutzen.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

25.12.2025

Veröffentlichung

28.01.2026

Moderieren

akzeptiert

Eintrag

VDB-343291

CPE

bereit

EPSS

0.00051

KEV

nein

Aktivitäten

very low

Sektor

Telecommunication, Chemical, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-68933
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-68933
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-68933/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!