CVE-2026-26265 in Discourseinformação

Sumário

de VulDB • 23/06/2026

O Discourse é uma plataforma de discussão de código aberto. Antes das versões 2025.12.2, 2026.1.1 e 2026.2.0, uma vulnerabilidade IDOR no endpoint de itens do diretório permite que qualquer usuário, incluindo usuários anônimos, recupere os valores dos campos privados de todos os usuários no diretório. O parâmetro `user_field_ids` em `DirectoryItemsController#index` aceita IDs arbitrários de campos de usuário sem verificações de autorização, contornando as restrições de visibilidade (`show_on_profile` / `show_on_user_card`) que são aplicadas em outros locais (por exemplo, `UserCardSerializer` via `Guardian#allowed_user_field_ids`). Um atacante pode solicitar `GET /directory_items.json?period=all&user_field_ids=<id>` com qualquer ID de campo privado e receber o valor desse campo para cada usuário na resposta do diretório. Isso permite a exfiltração em massa de dados privados dos usuários, como números de telefone, endereços ou outros campos personalizados sensíveis que os administradores configuraram explicitamente como não públicos. O problema foi corrigido nas versões 2025.12.2, 2026.1.1 e 2026.2.0 filtrando `user_field_ids` contra `UserField.public_fields` para usuários que não são funcionários antes de construir o mapa de campos personalizados. Como solução alternativa, os administradores do site podem remover dados sensíveis dos campos privados dos usuários ou desativar o diretório de usuários por meio da configuração do site `enable_user_directory`.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

12/02/2026

Divulgação

26/02/2026

Moderação

aceite

Entrada

VDB-348001

CPE

pronto

EPSS

0.00266

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!