Vulnerabilidades

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, los usuarios TL4 pueden publicar temas en categorías solo para el personal a través del temporizador de temas 'publish_to_category', omitiendo las comprobaciones de autorización. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.

Weblate es una herramienta de localización basada en web. Antes de la versión 5.16.1, el `AddonViewSet` de la API REST (`weblate/api/views.py`, línea 2831) utiliza `queryset = Addon.objects.all()` sin sobrescribir `get_queryset()` para limitar el alcance de los resultados por permisos de usuario. Esto permite a cualquier usuario autenticado (o usuarios anónimos si `REQUIRE_LOGIN` no está configurado) listar y recuperar TODOS los complementos en todos los proyectos y componentes a través de `GET /api/addons/` y `GET /api/addons/{id}/`. La versión 5.16.1 soluciona el problema.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, los moderadores podían exportar DMs de chat de usuario a través del endpoint de exportación CSV explotando una lista de permitidos excesivamente permisiva en 'can_export_entity?'. El método permitía a los moderadores exportar cualquier entidad no bloqueada explícitamente en lugar de restringir a una lista de permitidos explícita. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, el nombre completo de un usuario puede ser evaluado como HTML sin procesar cuando las siguientes configuraciones están establecidas: 'display_name_on_posts' => true; y 'prioritize_username_in_ux' => false. Editar una publicación de un usuario malicioso activaría un XSS. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No hay soluciones alternativas conocidas disponibles.

Umbraco Engage es una plataforma de inteligencia de negocios. Una vulnerabilidad ha sido identificada en Umbraco Engage en versiones anteriores a la 16.2.1 y 17.1.1 donde ciertos endpoints de la API están expuestos sin aplicar comprobaciones de autenticación o autorización. Los endpoints afectados pueden ser accedidos directamente a través de la red sin requerir una sesión válida o credenciales de usuario. Al proporcionar un parámetro identificador controlado por el usuario (por ejemplo, ?id=), un atacante puede recuperar datos sensibles asociados con registros arbitrarios. Debido a que no se realiza ninguna validación de control de acceso, los endpoints son vulnerables a ataques de enumeración, permitiendo a los atacantes iterar sobre identificadores y extraer datos a escala. Un atacante no autenticado puede recuperar datos sensibles relacionados con Engage consultando directamente los endpoints de la API afectados. La vulnerabilidad permite el acceso arbitrario a registros a través de identificadores predecibles o enumerables. El impacto en la confidencialidad se considera alto. No se ha identificado ningún impacto directo en la integridad o disponibilidad. El alcance de los datos expuestos depende de la implementación, pero puede incluir datos analíticos, datos de seguimiento, información relacionada con clientes u otro contenido gestionado por Engage. La vulnerabilidad afecta tanto a la v16 como a la v17. Los parches ya han sido lanzados. Se aconseja a los usuarios actualizar a la 16.2.1 o 17.1.1. No se conocen soluciones alternativas disponibles.

Zulip es una herramienta de colaboración en equipo de código abierto. Antes del commit bf28c82dc9b1f630fa8e9106358771b20a0040f7, el endpoint de la API para crear una sesión de actualización de tarjeta durante un flujo de actualización era accesible para usuarios con solo privilegios de miembro de la organización. Cuando la sesión de Stripe Checkout asociada se completa, el webhook de Stripe actualiza el método de pago predeterminado de la organización. Debido a que no se aplica una verificación de autorización específica de facturación, un miembro regular (no de facturación) puede cambiar el método de pago de la organización. Esta vulnerabilidad afectó al sistema de procesamiento de pagos de Zulip Cloud, y ha sido parcheada a partir del commit bf28c82dc9b1f630fa8e9106358771b20a0040f7. Las implementaciones autoalojadas ya no se ven afectadas y no se requiere ningún parche o actualización para ellas.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, una inyección SQL en el filtrado de etiquetas de mensajes privados ('list_private_messages_tag') permite eludir las condiciones del filtro de etiquetas, lo que podría revelar metadatos de mensajes privados no autorizados. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, la falta de autorización 'validate_before_create' en 'QueryGroupBookmarkable' de Data Explorer permite a cualquier usuario autenticado crear marcadores para grupos de consultas a los que no tienen acceso, lo que permite la divulgación de metadatos a través de notificaciones de recordatorio de marcadores. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 solucionan este problema y también aseguran que 'validate_before_create' arroje un NotImplementedError en BaseBookmarkable si no se implementa, para prevenir problemas similares en el futuro. No se conocen soluciones alternativas disponibles.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, la acción `move_posts` solo verificaba `can_move_posts?` en el tema de origen, pero nunca validaba los permisos de escritura en el tema de destino. Esto permitía a los usuarios TL4 y a los moderadores de grupos de categorías mover publicaciones a temas en categorías donde carecen de privilegios de publicación (por ejemplo, categorías de solo lectura o categorías con acceso de escritura restringido por grupo). Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, se producía una omisión de las preferencias de comunicación de MD al añadir miembros a través de `Chat::AddUsersToChannel` — un usuario podía añadir objetivos que los habían bloqueado/ignorado/silenciado a un canal de MD existente, omitiendo las restricciones de MP por destinatario que se aplican durante la creación del canal de MD. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, `posts_nearby` verificaba el acceso al tema pero luego devolvía todas las publicaciones independientemente del tipo, incluyendo whispers que solo deberían ser visibles para whisperers. Use `Post.secured(guardian)` para filtrar correctamente los tipos de publicaciones según los permisos del usuario. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.

Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, el endpoint de votantes en el plugin de encuestas carecía de comprobaciones de visibilidad de publicaciones, lo que permitía el acceso no autorizado a los detalles de los votantes de las encuestas en cualquier publicación. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.