CVE-2026-33410 in Discourse
要約
〜によって VulDB • 2026年06月02日
Discourseはオープンソースのディスカッションプラットフォームです。バージョン2026.3.0-latest.1、2026.2.1、および2026.1.2より前のバージョンには、チャットダイレクトメッセージAPIにおいて2つの認可上の問題があります。
第一に、ダイレクトメッセージチャネルの作成、または既存のチャネルへのユーザー追加時、`target_groups`パラメータは、アクティブなユーザーによるグループまたはメンバーの可視性チェックを行わず、ユーザー解決クエリに直接渡されていました。認証済みチャットユーザーは、既知のプライベート/非表示グループ名を含むAPIリクエストを作成し、そのグループのメンバーを含むチャネルを受信することで、メンバーの身元情報を漏洩させることができました。
第二に、`can_chat?`はグループメンバーシップのみをチェックしており、`chat_enabled`ユーザー設定は確認していませんでした。チャット無効化されたユーザーは、ダイレクトメッセージAPIを介して他のユーザー間のDMチャネルを作成または照会でき、シリアライズされたチャネルレスポンスからプライベートな`last_message`コンテンツが露出する可能性があります。
バージョン2026.3.0-latest.1、2026.2.1、および2026.1.2には修正パッチが含まれています。既知の回避策はありません。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.