Vulnerabilidad en Discourse (CVE-2026-28219)

Gravedad CVSS v4.0:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

26/02/2026

Última modificación:

27/02/2026

Descripción

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, una verificación de autorización incorrecta en la lógica de gestión de temas permite a los usuarios autenticados modificar atributos privilegiados de sus temas. Al manipular parámetros específicos en una solicitud PUT o POST, un usuario regular puede elevar el estado de un tema a un aviso o banner de todo el sitio, eludiendo las restricciones administrativas previstas. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 aplican un parche al problema. No existen soluciones alternativas prácticas para prevenir este comportamiento aparte de aplicar el parche de seguridad. Los administradores preocupados por las promociones no autorizadas deberían auditar los cambios recientes en los banners del sitio y los avisos globales hasta que se implemente la corrección.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 1.30 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0

1.30

Gravedad 4.0

BAJA

Referencias a soluciones, herramientas e información

https://github.com/discourse/discourse/security/advisories/GHSA-8v26-9f7h-jc8x