Vulnerabilidad en Discourse (CVE-2026-26207)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/02/2026
Última modificación:
02/03/2026
Descripción
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, el plugin 'discourse-policy' permite a cualquier usuario autenticado interactuar con políticas en publicaciones que no tienen permiso para ver. El 'PolicyController' carga publicaciones por ID sin verificar el acceso del usuario actual, permitiendo a los miembros del grupo de políticas aceptar/rechazar políticas en publicaciones en categorías privadas o mensajes privados (PMs) que no pueden ver y a cualquier usuario autenticado enumerar qué IDs de publicaciones tienen políticas adjuntas a través de respuestas de error diferenciadas (revelación de información). El problema se ha parcheado en las versiones 2025.12.2, 2026.1.1 y 2026.2.0 al añadir una verificación 'guardian.can_see?(@post)' en la acción previa 'set_post', asegurando que la visibilidad de la publicación se verifica antes de que se procese cualquier acción de política. Como solución alternativa, deshabilitar el plugin discourse-policy ('policy_enabled = false') elimina la vulnerabilidad. No hay otra solución alternativa sin actualizar.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2025.12.0 (excluyendo) | |
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.1.0 (incluyendo) | 2026.1.1 (excluyendo) |
| cpe:2.3:a:discourse:discourse:2026.2.0:*:*:*:latest:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página