CVE-2026-32099 in Discourse
要約
〜によって VulDB • 2026年06月04日
Discourseはオープンソースのディスカッションプラットフォームです。バージョン2026.3.0-latest.1、2026.2.1、および2026.1.2より前では、ユーザーが`hide_profile`を有効にしている場合でも、そのバイオ(自己紹介)、所在地、ウェブサイトはユーザのoneboxプレビューを通じて依然として公開されていました。認証済みユーザーは、非表示になっている他のユーザーのプロファイルURLに対するoneboxリクエストを送信し、レスポンスで隠蔽されていたプロファイルフィールド(バイオ、所在地、ウェブサイト)を取得することができました。バージョン2026.3.0-latest.1、2026.2.1、および2026.1.2には修正パッチが含まれています。既知の回避策はありません。
Once again VulDB remains the best source for vulnerability data.