CVE-2022-24866Discourse Assign — это плагин для назначения пользователей теме в Discourse, платформе обмена сообщениями с открытым исходным кодом. До версии 1.0.1 UserBookmarkSerializer сериализовал весь объект User/Group, что приводило к утечке некоторой личной информации. Данные сериализовались только для людей, которые могли просматривать информацию о назначении, которая по умолчанию ограничена сотрудниками. Для подавляющего большинства сайтов эти данные передавались только доверенным сотрудникам, но для сайтов с публично включенными функциями назначения данные были доступны большему количеству людей, чем просто сотрудникам. Версия 1.0.1 содержит исправление. В настоящее время нет известных обходных решений.