Vulnerabilidad en Discourse (CVE-2026-26077)

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, varios puntos finales de webhook (SendGrid, Mailjet, Mandrill, Postmark, SparkPost) en el 'WebhooksController' aceptaban solicitudes sin un token de autenticación válido cuando no se había configurado ningún token. Esto permitía a atacantes no autenticados falsificar cargas útiles de webhook e inflar artificialmente las puntuaciones de rebote de los usuarios, lo que podría provocar la desactivación de correos electrónicos legítimos de usuarios. El punto final de Mailpace no tenía ninguna validación de token. A partir de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, todos los puntos finales de webhook rechazan las solicitudes con una respuesta 406 cuando no hay un token de autenticación configurado. Como solución alternativa, asegúrese de que los tokens de autenticación de webhook estén configurados para todas las integraciones de proveedores de correo electrónico en la configuración del sitio (p. ej., 'sendgrid_verification_key', 'mailjet_webhook_token', 'postmark_webhook_token', 'sparkpost_webhook_token'). No hay una solución alternativa actual para Mailpace antes de obtener esta corrección.