Vulnerabilidad en Discourse (CVE-2026-26973)

Discourse es una plataforma de discusión de código abierto. Versiones anteriores a 2025.12.2, 2026.1.1 y 2026.2.0 tienen una IDOR (Referencia Directa Insegura a Objeto) en `ReviewableNotesController`. Cuando `enable_category_group_moderation` está habilitado, un usuario que pertenece a un grupo de moderación de categoría puede crear o eliminar sus propias notas en cualquier elemento revisable del sistema, incluyendo elementos revisables en categorías que no modera. El controlador usó un `Reviewable.find` sin ámbito y la protección `ensure_can_see` solo verificaba si el usuario podía acceder a la cola de revisión en general, no si podía acceder al elemento revisable específico. Solo las instancias con `enable_category_group_moderation` habilitado se ven afectadas. Los usuarios del personal (administradores/moderadores) no se ven afectados ya que ya tienen acceso a todos los elementos revisables. El problema está parcheado en las versiones 2025.12.2, 2026.1.1 y 2026.2.0 al limitar la búsqueda de elementos revisables a través de `Reviewable.viewable_by(current_user)`. Como solución alternativa, deshabilite la configuración del sitio `enable_category_group_moderation`. Esto elimina la superficie de ataque ya que solo los usuarios del personal tendrán acceso a la cola de revisión.