Vulnerabilidad en Discourse (CVE-2026-24742)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/01/2026
Última modificación:
30/01/2026
Descripción
Discourse es una plataforma de discusión de código abierto. En versiones anteriores a 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0, los moderadores no administradores pueden ver información sensible en los registros de acciones del personal que debería estar restringida solo a los administradores. La información expuesta incluye URL y secretos de carga útil de webhook, detalles de claves API, cambios en la configuración del sitio, contenido de mensajes privados, nombres y estructuras de categorías restringidas, y títulos de canales de chat privados. Esto permite a los moderadores eludir los controles de acceso previstos y extraer datos confidenciales al monitorear los registros de acciones del personal. Con secretos de webhook filtrados, un atacante podría potencialmente falsificar eventos de webhook a servicios integrados. Este problema está parcheado en las versiones 3.5.4, 2025.11.2, 2025.12.1 y 2026.1.0. Como solución alternativa, los administradores del sitio deben revisar y limitar los nombramientos de moderadores a usuarios de plena confianza. No existe una solución alternativa basada en la configuración para evitar este acceso.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:* | 3.5.4 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:*:*:*:*:stable:*:*:* | 2025.11.0 (incluyendo) | 2025.11.2 (excluyendo) |
| cpe:2.3:a:discourse:discourse:2025.12.0:*:*:*:stable:*:*:* | ||
| cpe:2.3:a:discourse:discourse:2026.1.0:*:*:*:stable:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página