Vulnerabilidad en Discourse (CVE-2026-26265)

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, una vulnerabilidad IDOR en el endpoint de elementos del directorio permite a cualquier usuario, incluidos los usuarios anónimos, recuperar valores de campos de usuario privados para todos los usuarios en el directorio. El parámetro 'user_field_ids' en 'DirectoryItemsController#index' acepta IDs de campos de usuario arbitrarios sin comprobaciones de autorización, eludiendo las restricciones de visibilidad ('show_on_profile' / 'show_on_user_card') que se aplican en otros lugares (por ejemplo, 'UserCardSerializer' a través de 'Guardian#allowed_user_field_ids'). Un atacante puede solicitar 'GET /directory_items.json?period=all&user_field_ids=' con cualquier ID de campo privado y recibir el valor de ese campo para cada usuario en la respuesta del directorio. Esto permite la exfiltración masiva de datos de usuario privados como números de teléfono, direcciones u otros campos personalizados sensibles que los administradores han configurado explícitamente como no públicos. El problema está parcheado en las versiones 2025.12.2, 2026.1.1 y 2026.2.0 filtrando 'user_field_ids' contra 'UserField.public_fields' para usuarios que no son personal antes de construir el mapa de campos personalizados. Como solución alternativa, los administradores del sitio pueden eliminar datos sensibles de los campos de usuario privados, o deshabilitar el directorio de usuarios a través de la configuración del sitio 'enable_user_directory'.