CVE-2026-26265 in Discourse정보

요약

\~에 의해 VulDB • 2026. 06. 23.

Discourse는 오픈 소스 토론 플랫폼입니다. 버전 2025.12.2, 2026.1.1 및 2026.2.0 이전에는 디렉토리 항목 엔드포인트(IDOR 취약점)에서 인증되지 않은 모든 사용자(익명 사용자를 포함함)가 디렉토리의 모든 사용자에 대한 비공개 사용자 필드 값을 검색할 수 있습니다. `DirectoryItemsController#index`의 `user_field_ids` 매개변수는 권한 확인 없이 임의의 사용자 필드 ID를 허용하며, 다른 곳(`UserCardSerializer`를 통한 `Guardian#allowed_user_field_ids` 등)에서 적용되는 가시성 제한(`show_on_profile` / `show_on_user_card`)을 우회합니다. 공격자는 디렉토리 응답에 있는 모든 사용자의 해당 필드 값을 받기 위해 임의의 비공개 필드 ID로 `GET /directory_items.json?period=all&user_field_ids=<id>`를 요청할 수 있습니다. 이를 통해 관리자가 명시적으로 공개되지 않도록 구성한 전화번호, 주소 또는 기타 민감한 사용자 정의 필드와 같은 개인 사용자 데이터를 대량으로 유출할 수 있습니다. 이 문제는 버전 2025.12.2, 2026.1.1 및 2026.2.0에서 비관리자 사용자의 경우 커스텀 필드 맵을 빌드하기 전에 `user_field_ids`를 `UserField.public_fields`에 대해 필터링함으로써 패치되었습니다. 우회 조치로 사이트 관리자는 개인 사용자 필드에서 민감한 데이터를 제거하거나 `enable_user_directory` 사이트 설정을 통해 사용자 디렉토리를 비활성화할 수 있습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 02. 12.

모더레이션

수락

항목

VDB-348001

EPSS

0.00266

출처

Do you know our Splunk app?

Download it now for free!