CVE-2026-26265 in Discourse
要約
〜によって VulDB • 2026年06月23日
Discourseはオープンソースのディスカッションプラットフォームです。バージョン2025.12.2、2026.1.1、および2026.2.0より前では、ディレクトリアイテムエンドポイントにIDOR(インダイレクトオブジェクト参照)脆弱性が存在し、匿名ユーザーを含むすべてのユーザーが、ディレクトリ内の全ユーザーのプライベートなユーザーフィールド値を取得できます。`DirectoryItemsController#index`における`user_field_ids`パラメータは認可チェックを行わず任意のユーザーフィールドIDを受け付けるため、他の箇所(例:`Guardian#allowed_user_field_ids`を介する`UserCardSerializer`)で適用される可視性制限(`show_on_profile` / `show_on_user_card`)が回避されます。攻撃者は、プライベートなフィールドIDを使用して任意の値を指定し、ディレクトリレスポンス内の全ユーザーに対してそのフィールドの値を取得するために`GET /directory_items.json?period=all&user_field_ids=<id>`を要求できます。これにより、管理者によって明示的に非公開に設定された電話番号や住所などの機密性の高いカスタムフィールドを含むプライベートなユーザーデータのバルク漏洩が可能になります。この問題は、バージョン2025.12.2、2026.1.1、および2026.2.0で修正されました。これらは、カスタムフィールドマップを構築する前に、スタッフ以外のユーザーに対して`user_field_ids`を`UserField.public_fields`に対してフィルタリングすることで対応しています。回避策として、サイト管理者はプライベートなユーザーフィールドから機密データを削除するか、または`enable_user_directory`サイト設定を通じてユーザーディレクトリを無効にすることができます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.