Vulnerabilidad en discourse (CVE-2026-28282)
Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/03/2026
Última modificación:
23/03/2026
Descripción
Discourse es una plataforma de discusión de código abierto. Las versiones anteriores a 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 tienen una falla de seguridad en el plugin discourse-policy que permitía a un usuario con permiso de creación de políticas obtener acceso de membresía a cualquier grupo privado/restringido. Una vez que se ha obtenido la membresía a un grupo privado/restringido, el usuario podrá leer temas privados a los que solo el grupo tiene acceso. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Como solución alternativa, revise todas las políticas para el uso de 'add-users-to-group' y elimine temporalmente el atributo de la política. Alternativamente, deshabilite el plugin discourse-policy deshabilitando la configuración del sitio 'policy_enabled'.
Impacto
Puntuación base 4.0
2.30
Gravedad 4.0
BAJA
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.1.0 (incluyendo) | 2026.1.2 (excluyendo) |
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.2.0 (incluyendo) | 2026.2.1 (excluyendo) |
| cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/discourse/discourse/commit/64e2514ac17046cfaa8bc68a3c5140bc40736add
- https://github.com/discourse/discourse/commit/c14b8a4cc5fc94e4839a83c5d55765897589f45b
- https://github.com/discourse/discourse/commit/dcde9de530f515e88f99957056ffbcc2e1e03951
- https://github.com/discourse/discourse/security/advisories/GHSA-6cc8-x3rm-j5pf