CVE-2025-69218 in Discourseinfo

Zusammenfassung

von VulDB • 05.06.2026

Discourse ist eine Open-Source-Diskussionsplattform. In Versionen vor 3.5.4, 2025.11.2, 2025.12.1 und 2026.1.0 können Moderatoren auf den Admin-Bericht `top_uploads` zugreifen, der ausschließlich Administratoren vorbehalten sein sollte. Dieser Bericht zeigt direkte URLs zu allen auf der Website hochgeladenen Dateien an, einschließlich sensibler Inhalte wie Benutzerdaten-Exporte, Admin-Backups und anderer privater Anhänge, auf die Moderatoren keinen Zugriff haben sollten. Dieses Problem wurde in den Versionen 3.5.4, 2025.11.2, 2025.12.1 und 2026.1.0 behoben. Es gibt keine Umgehungsmöglichkeit. Beschränken Sie die Moderatorenrechte bis zur Anwendung des Patches auf vertrauenswürdige Benutzer.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

29.12.2025

Veröffentlichung

28.01.2026

Moderieren

akzeptiert

Eintrag

VDB-343290

CPE

bereit

EPSS

0.00070

KEV

nein

Aktivitäten

very low

Sektor

Police, Pharma, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-69218
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-69218
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-69218/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!