Vulnerabilidad en discourse (CVE-2026-33410)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/03/2026
Última modificación:
24/03/2026
Descripción
Discourse es una plataforma de discusión de código abierto. Las versiones anteriores a 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 tienen dos problemas de autorización en la API de mensajes directos del chat. Primero, al crear un canal de mensajes directos o añadir usuarios a uno existente, el parámetro 'target_groups' se pasaba directamente a la consulta de resolución de usuarios sin comprobar la visibilidad del grupo o de los miembros para el usuario que actuaba. Un usuario de chat autenticado podría elaborar una solicitud de API con un nombre de grupo privado/oculto conocido y recibir un canal que contuviera a los miembros de ese grupo, filtrando sus identidades. Segundo, 'can_chat?' solo comprobaba la pertenencia al grupo, no la preferencia de usuario 'chat_enabled'. Un usuario con el chat deshabilitado podría crear o consultar canales de MD entre otros usuarios a través de la API de mensajes directos, exponiendo potencialmente contenido privado de 'last_message' de la respuesta serializada del canal. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.1.0 (incluyendo) | 2026.1.2 (excluyendo) |
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.2.0 (incluyendo) | 2026.2.1 (excluyendo) |
| cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página