Vulnerabilidad en Discourse (CVE-2026-33395)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
19/03/2026
Última modificación:
24/03/2026
Descripción
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, el plugin discourse-graphviz contiene una vulnerabilidad de cross-site scripting (XSS) almacenado que permite a los usuarios autenticados inyectar código JavaScript malicioso a través de definiciones de gráficos DOT. Solo para instancias con CSP deshabilitado. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Como solución alternativa, deshabilite el plugin graphviz, actualice a una versión parcheada o habilite una política de seguridad de contenido.
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.1.0 (incluyendo) | 2026.1.2 (excluyendo) |
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.2.0 (incluyendo) | 2026.2.1 (excluyendo) |
| cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/discourse/discourse/commit/0471e68ed0b594bf386e068f228849244b880ef1
- https://github.com/discourse/discourse/commit/0c861df8bea03dcc01b60da6cc7038e6c88de4ee
- https://github.com/discourse/discourse/commit/472f9e1f7855307e489e9eaa6825d5335dfc08b5
- https://github.com/discourse/discourse/security/advisories/GHSA-23c7-gq89-xm5v