Vulnerabilidad en Discourse (CVE-2026-26078)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/02/2026
Última modificación:
02/03/2026
Descripción
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, cuando la configuración del sitio 'patreon_webhook_secret' está en blanco, un atacante puede falsificar firmas de webhook válidas calculando un HMAC-MD5 con una cadena vacía como clave. Dado que el cuerpo de la solicitud es conocido por el remitente, el atacante puede producir una firma coincidente y enviar cargas útiles de webhook arbitrarias. Esto permite la creación, modificación o eliminación no autorizada de datos de promesas de Patreon y el desencadenamiento de la sincronización de mecenas a grupo. Esta vulnerabilidad está parcheada en las versiones 2025.12.2, 2026.1.1 y 2026.2.0. La corrección rechaza las solicitudes de webhook cuando el secreto de webhook no está configurado, evitando la falsificación de firmas con una clave vacía. Como solución alternativa, configure la configuración del sitio 'patreon_webhook_secret' con un valor secreto fuerte y no vacío. Cuando el secreto no está vacío, un atacante no puede falsificar firmas válidas sin conocer el secreto.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2025.12.0 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.1.0 (incluyendo) | 2026.1.1 (excluyendo) |
| cpe:2.3:a:discourse:discourse:2026.2.0:*:*:*:latest:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página