Vulnerabilidad en discourse (CVE-2026-27491)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/03/2026
Última modificación:
25/03/2026
Descripción
Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, un problema de coerción de tipos en un endpoint de la API de acciones de publicaciones permitía a usuarios que no eran parte del personal emitir advertencias a otros usuarios. Las advertencias son una característica de moderación solo para el personal. La vulnerabilidad requería que el atacante fuera un usuario con sesión iniciada y enviara una solicitud específicamente diseñada. No fue posible la exposición de datos ni la escalada de privilegios más allá de la capacidad de crear advertencias de usuario no autorizadas. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
Impacto
Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.1.0 (incluyendo) | 2026.1.2 (excluyendo) |
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.2.0 (incluyendo) | 2026.2.1 (excluyendo) |
| cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/discourse/discourse/commit/60a588f4da4ab0feceb2c44787d4261b4f8757be
- https://github.com/discourse/discourse/commit/d3cb203feabc46d765ecb91f348613a2bd531b89
- https://github.com/discourse/discourse/commit/f5fef73827da7520efc517357bd2a6bab35d7886
- https://github.com/discourse/discourse/security/advisories/GHSA-xq37-5fvf-4m4j