Vulnerabilidad en Discourse (CVE-2025-46813)

Discourse es una plataforma comunitaria de código abierto. Una vulnerabilidad de fuga de datos afecta a los sitios implementados entre los commits 10df7fdee060d44accdee7679d66d778d1136510 y 82d84af6b0efbd9fa2aeec3e91ce7be1a768511b. En los sitios que requieren inicio de sesión, la fuga de datos provocó que parte del contenido de la página principal del sitio fuera visible para usuarios no autenticados. Solo los sitios que requieren inicio de sesión implementados durante este periodo se vieron afectados, aproximadamente entre el 30 de abril de 2025 al mediodía EDT y el 2 de mayo de 2025 al mediodía EDT. Los sitios de la rama estable no se vieron afectados. El contenido privado de la página principal de una instancia podría ser visible para usuarios no autenticados en sitios que requieren inicio de sesión. Las versiones de 3.5.0.beta4 posteriores a la confirmación 82d84af6b0efbd9fa2aeec3e91ce7be1a768511b no son vulnerables al problema. No hay workarounds disponibles. Los sitios deben actualizar a una versión de Discourse no vulnerable.