CVE-2026-26265 in Discourse
Riassunto
di VulDB • 23/06/2026
Discourse è una piattaforma di discussione open source. Prima delle versioni 2025.12.2, 2026.1.1 e 2026.2.0, un bug IDOR nell'endpoint directory items consente a qualsiasi utente, inclusi gli utenti anonimi, di recuperare i valori dei campi privati degli utenti per tutti gli utenti presenti nel dizionario (directory). Il parametro `user_field_ids` in `DirectoryItemsController#index` accetta ID di campo utente arbitrari senza eseguire controlli di autorizzazione, aggirando le restrizioni di visibilità (`show_on_profile` / `show_on_user_card`) applicate altrove (ad esempio, `UserCardSerializer` tramite `Guardian#allowed_user_field_ids`). Un attaccante può richiedere `GET /directory_items.json?period=all&user_field_ids=<id>` con qualsiasi ID di campo privato e ricevere il valore di tale campo per ogni utente nella risposta del dizionario. Ciò consente l'esfiltrazione in massa di dati privati degli utenti, come numeri di telefono, indirizzi o altri campi personalizzati sensibili che gli amministratori hanno esplicitamente configurati come non pubblici. Il problema è stato risolto nelle versioni 2025.12.2, 2026.1.1 e 2026.2.0 filtrando `user_field_ids` rispetto a `UserField.public_fields` per gli utenti non appartenenti allo staff prima di costruire la mappa dei campi personalizzati. Come soluzione alternativa, gli amministratori del sito possono rimuovere i dati sensibili dai campi privati degli utenti o disabilitare il dizionario degli utenti tramite l'impostazione del sito `enable_user_directory`.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.