Vulnerabilidad en discourse (CVE-2026-27740)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
19/03/2026
Última modificación:
25/03/2026
Descripción
Discourse es una plataforma de discusión de código abierto. Las versiones anteriores a 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 tienen una vulnerabilidad de cross-site scripting que surge porque el sistema confía en la salida sin procesar de un Modelo de Lenguaje Grande de IA (LLM) y la renderiza usando htmlSafe en la interfaz de la Cola de Revisión sin una sanitización adecuada. Un atacante malicioso puede usar técnicas válidas de Inyección de Prompt para forzar a la IA a devolver una carga útil maliciosa (p. ej., etiquetas). Cuando un miembro del personal (Administrador/Moderador) ve la publicación marcada en la Cola de Revisión, la carga útil se ejecuta. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Como solución alternativa, deshabilite temporalmente los scripts de automatización de triaje de IA.
Impacto
Puntuación base 4.0
5.10
Gravedad 4.0
MEDIA
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.1.0 (incluyendo) | 2026.1.2 (excluyendo) |
| cpe:2.3:a:discourse:discourse:*:*:*:*:*:*:*:* | 2026.2.0 (incluyendo) | 2026.2.1 (excluyendo) |
| cpe:2.3:a:discourse:discourse:2026.3.0:*:*:*:latest:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/discourse/discourse/commit/44b84439df7e4424b2e7f216fd8fdd7dacff2227
- https://github.com/discourse/discourse/commit/8ae7cb2414d6918d7fc45e1fda7ffbb32912a975
- https://github.com/discourse/discourse/commit/ed70949f2c047196f33cfa94f2819df29c5d1e5f
- https://github.com/discourse/discourse/security/advisories/GHSA-95hc-42c6-wvvr