CVE-2026-26265 in Discourseinfo

Zusammenfassung

von VulDB • 23.06.2026

Discourse ist eine Open-Source-Diskussionsplattform. Vor den Versionen 2025.12.2, 2026.1.1 und 2026.2.0 ermöglicht eine IDOR-Schwachstelle im Endpunkt für Verzeichnisartikel jedem Benutzer, einschließlich anonymer Nutzer, private Benutzefeldwerte aller Benutzer im Verzeichnis abzurufen. Der Parameter `user_field_ids` in `DirectoryItemsController#index` akzeptiert beliebige Benutzerfeld-IDs ohne Autorisierungsprüfungen und umgeht die Sichtbarkeitsbeschränkungen (`show_on_profile` / `show_on_user_card`), die an anderer Stelle durchgesetzt werden (z. B. über `UserCardSerializer` mittels `Guardian#allowed_user_field_ids`). Ein Angreifer kann eine Anfrage mit `GET /directory_items.json?period=all&user_field_ids=<id>` für jede private Feld-ID stellen und den Wert dieses Feldes für jeden Benutzer in der Verzeichnisantwort erhalten. Dies ermöglicht die Massenexfiltration privater Benutzendaten wie Telefonnummern, Adressen oder anderer sensibler benutzerdefinierter Felder, die Administratoren explizit als nicht öffentlich konfiguriert haben. Das Problem wurde in den Versionen 2025.12.2, 2026.1.1 und 2026.2.0 behoben, indem `user_field_ids` für Nicht-Mitarbeiter-Benutzer vor dem Erstellen der benutzerdefinierten Feldzuordnung gegen `UserField.public_fields` gefiltert werden. Als Workaround können Site-Administratoren sensible Daten aus privaten Benutzefeldern entfernen oder das Benutzerverzeichnis über die Site-Einstellung `enable_user_directory` deaktivieren.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

12.02.2026

Veröffentlichung

26.02.2026

Moderieren

akzeptiert

Eintrag

VDB-348001

CPE

bereit

EPSS

0.00266

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!