Vulnerabilidad en Discourse (CVE-2025-68933)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/01/2026
Última modificación:
30/01/2026
Descripción
Discourse es una plataforma de discusión de código abierto. En versiones anteriores a 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0, los moderadores no administradores con la configuración 'moderators_change_post_ownership' habilitada pueden cambiar la propiedad de las publicaciones en mensajes privados y categorías restringidas a las que no pueden acceder, y luego exportar sus datos para ver el contenido. Esto es una vulnerabilidad de control de acceso roto que afecta a los sitios que otorgan a los moderadores permisos de transferencia de propiedad de publicaciones. Este problema está parcheado en las versiones 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0. El parche añade comprobaciones de visibilidad tanto para el tema como para las publicaciones antes de permitir la transferencia de propiedad. Como solución alternativa, deshabilite la configuración del sitio 'moderators_change_post_ownership' para evitar que los moderadores no administradores utilicen la función de transferencia de propiedad de publicaciones.
Impacto
Puntuación base 3.x
6.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:* | 3.5.4 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:* | 2025.11.0 (incluyendo) | 2025.11.2 (excluyendo) |
| cpe:2.3:a:discourse:discourse:2025.12.0:*:*:*:stable:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2026.1.0:*:*:*:stable:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página