nvd,anchore_overrides
Discourse
Уязвимости
270
Эксплуатируемые
0
Критический
7
Высокий
40
Топ продуктов
Топ уязвимостей
CVE-2025-68662Discourse - это дискуссионная площадка с открытым исходным кодом. В версиях до 3.5.4, 2025.11.2, 2025.12.1 и 2026.1.0 проблема валидации хоста в FinalDestination может позволить обойти защиту SSRF при определенных условиях. Этот выпуск исправлен в версиях 3.5.4, 2025.11.2, 2025.12.1 и 2026.1.0. Известных обходных путей не имеется.
CVE-2023-47121Discourse - это платформа с открытым исходным кодом для обсуждения в сообществе. До версии 3.1.3 ветки `stable` и версии 3.2.0.beta3 веток `beta` и `tests-passed` функция внедрения подвержена подделке запросов на стороне сервера. Проблема исправлена в версии 3.1.3 ветки `stable` и версии 3.2.0.beta3 веток `beta` и `tests-passed`. В качестве обходного пути отключите функцию внедрения.
CVE-2022-46162discourse-bbcode - это официальный плагин BBCode для Discourse. До коммита 91478f5 может произойти внедрение CSS при рендеринге контента, созданного с помощью плагина discourse-bccode. Эта уязвимость затрагивает только сайты, на которых установлен и включен плагин discourse-bbcode. Эта проблема исправлена в коммите 91478f5. В качестве обходного пути убедитесь, что политика безопасности контента включена, и отслеживайте любые сообщения, содержащие bbcode.
CVE-2022-39355Discourse Patreon обеспечивает синхронизацию между Discourse Groups и Patreon rewards. На сайтах с включенным Patreon login, ненадлежащая уязвимость аутентификации может быть использована для получения контроля над учетной записью форума жертвы. Эта уязвимость исправлена в коммите номер 846d012151514b35ce42a1636c7d70f6dcee879e плагина discourse-patreon. В целях предосторожности все учетные записи Discourse, которые вошли в систему с неверифицированной учетной записью Patreon, будут выведены из системы, и им будет предложено подтвердить свой адрес электронной почты при следующем входе в систему. В качестве обходного пути отключите интеграцию patreon и выйдите из всех учетных записей пользователей, связанных с Patreon.
CVE-2021-41163Discourse - это платформа с открытым исходным кодом для обсуждения в сообществе. В уязвимых версиях вредоносные запросы могли привести к удаленному выполнению кода. Это произошло из-за отсутствия проверки значений subscribe_url. Эта проблема исправлена в последних стабильных, бета-версиях и версиях, прошедших тестирование Discourse. Чтобы обойти проблему без обновления, запросы с путем, начинающимся с /webhooks/aws, можно заблокировать на вышестоящем прокси.
CVE-2024-49765Discourse - это платформа с открытым исходным кодом для обсуждения в сообществе. Сайты, использующие discourse connect, но все еще имеющие локальные логины, могут позволить злоумышленникам обойти discourse connect для создания учетных записей и входа в систему. Эта проблема исправлена в последней версии Discourse. Пользователи, не имеющие возможности обновиться и использующие discourse connect, могут отключить все другие методы входа в качестве обходного пути.
CVE-2024-54142Discourse AI — это плагин Discourse, который предоставляет ряд функций искусственного интеллекта. При совместном использовании разговоров Discourse AI Bot в сообщениях, если в разговоре были HTML-сущности, они могли просочиться в приложение Discourse, когда пользователь посещал сообщение с onebox для указанного разговора. Эта проблема была решена в коммите `92f122c`. Пользователям рекомендуется обновиться. Пользователи, не имеющие возможности обновиться, могут удалить все группы из настройки сайта `ai bot public sharing allowed groups`.
CVE-2022-39356Discourse - это платформа для обсуждения в сообществе. Пользователи, которые получают ссылку-приглашение, не ограниченную одним адресом электронной почты, могут ввести адрес электронной почты любого пользователя, не являющегося администратором, и получить доступ к его учетной записи при принятии приглашения. Всем пользователям следует обновиться до последней версии. Обходным путем является временное отключение приглашений с помощью `SiteSetting.max_invites_per_day = 0` или ограничение их отдельными адресами электронной почты.
CVE-2022-21684Discourse - это платформа для обсуждений с открытым исходным кодом. Версии до 2.7.13 в `stable`, 2.8.0.beta11 в `beta` и 2.8.0.beta11 в `tests-passed` позволяют некоторым пользователям входить в сообщество до того, как они должны это делать. Пользователь, приглашенный по электронной почте на форум с включенным `must_approve_users`, будет автоматически авторизован, минуя проверку, которая не позволяет неавторизованным пользователям регистрироваться. Они смогут делать все, что может делать авторизованный пользователь. Если они выйдут из системы, они не смогут войти обратно. Эта проблема исправлена в `stable` версии 2.7.13, `beta` версии 2.8.0.beta11 и `tests-passed` версии 2.8.0.beta11. В качестве обходного пути можно отключить приглашения. Администраторы могут увеличить `min_trust_level_to_allow_invite`, чтобы уменьшить поверхность атаки для более доверенных пользователей.
CVE-2021-41263rails_multisite обеспечивает поддержку нескольких БД для приложений Rails. В затронутых версиях эта уязвимость влияет на любые приложения Rails, использующие `rails_multisite` вместе с подписанными/зашифрованными файлами cookie Rails. В зависимости от того, как приложение использует эти файлы cookie, злоумышленник может повторно использовать файлы cookie на разных "сайтах" в рамках многосайтового приложения Rails. Проблема была исправлена в v4 гема `rails_multisite`. Обратите внимание, что это обновление сделает недействительными все предыдущие подписанные/зашифрованные файлы cookie. Влияние этой недействительности будет варьироваться в зависимости от архитектуры приложения.
CVE-2026-27934Discourse - это дискуссионная площадка с открытым исходным кодом. Версии до 2026.3.0-lest.1, 2026.2.1 и 2026.1.2 имеют недостаточную проверку видимости с конечной точкой API-адреса пользователя, что приводит к раскрытию заголовка и выдержки из поста неавторизованным пользователям, что приводит к раскрытию информации. Версии 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 содержат патч. Известные обходные действия не доступны.
CVE-2025-48053Discourse - это платформа для обсуждений с открытым исходным кодом. До версии 3.4.4 ветки `stable`, версии 3.5.0.beta5 ветки `beta` и версии 3.5.0.beta6-dev ветки `tests-passed` отправка вредоносного URL в личном сообщении боту может привести к снижению доступности экземпляра Discourse. Эта проблема исправлена в версии 3.4.4 ветки `stable`, версии 3.5.0.beta5 ветки `beta` и версии 3.5.0.beta6-dev ветки `tests-passed`. На данный момент нет известных обходных путей [1].
Источники:
- [1] https://github.com/discourse/discourse/security/advisories/GHSA-3q5q-qmrm-rvwx
CVE-2026-31805Discourse - это дискуссионная площадка с открытым исходным кодом. До версий 2026.3.0-мальки.1, 2026.2.1 и 2026.1.2 авторское обход в плагине опроса позволяло аутентифицированным пользователям голосовать, удалять голоса или переключать открытый / закрытый статус опросов, к которым они не имели доступа. Передавая post_id в качестве массива (например, post_id[]=&post_id[]=), проверка авторизации разрешает доступный пост, в то время как выбор для поиска решений для другого поста. Это влияет на голосование, remove_vote и toggle_status конечные точки в DiscoursePoll::PollsController. Версии 2026.3.0-мнезаменители.1, 2026.2.1 и 2026.1.2 содержат патч.
CVE-2026-29072Discourse - это дискуссионная площадка с открытым исходным кодом. До версий 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 пользователи, которые не принадлежат к разрешенным группам по разработке политики, могут создавать виджеты функционального принятия политики в постах при правильных условиях. Версии 2026.3.0-меньше.1, 2026.2.1 и 2026.1.2 содержат патч. В качестве обходного процесса отключите плагин дискурс-политик, отключив «policy_enabled` сайт».
CVE-2025-53102Discourse - это дискуссионная площадка сообщества с открытым исходным кодом. Перед версией 3.4.7 в ветке "стабильного" и версии 3.5.0.beta.8 на "тест-пройденной ветви" при выдаче ключа от физической безопасности для 2FA сервер генерирует вызов WebAuthn, который подписывает клиент. Задача не устраняется с сеанса пользователя после аутентификации, что потенциально позволяет повторно использовать и увеличивает риск безопасности. Это исправлено в версиях 3.4.7 и 3.5.0.beta.8.
CVE-2025-23023Discourse — это платформа с открытым исходным кодом для обсуждения в сообществе. В затронутых версиях злоумышленник может аккуратно создать запрос с правильными заголовками запроса, чтобы отравить анонимный кэш (например, кэш может содержать ответ с отсутствующими предзагруженными данными). Эта проблема затрагивает только анонимных посетителей сайта. Эта проблема была исправлена в последней версии Discourse. Пользователям рекомендуется обновиться. Пользователи, не имеющие возможности обновить, могут отключить анонимный кэш, установив переменную окружения `DISCOURSE_DISABLE_ANON_CACHE` в непустое значение.
CVE-2024-55948Discourse — это платформа с открытым исходным кодом для обсуждения в сообществе. В затронутых версиях злоумышленник может создать XHR-запрос для отравления анонимного кэша (например, кэш может содержать ответ с отсутствующими предварительно загруженными данными). Эта проблема затрагивает только анонимных посетителей сайта. Эта проблема была исправлена в последней версии Discourse. Пользователям рекомендуется обновиться. Пользователям, не имеющим возможности обновиться, следует отключить анонимный кэш, установив для переменной среды `DISCOURSE_DISABLE_ANON_CACHE` непустое значение.
CVE-2024-47773Discourse — это платформа с открытым исходным кодом для обсуждений в сообществе. Злоумышленник может сделать несколько XHR-запросов, пока кеш не будет отравлен ответом без каких-либо предварительно загруженных данных. Эта проблема затрагивает только анонимных посетителей сайта. Проблема устранена в последней версии Discourse. Пользователям рекомендуется обновиться. Пользователям, которые не могут обновиться, следует отключить анонимный кеш, установив для переменной среды `DISCOURSE_DISABLE_ANON_CACHE` непустое значение.
CVE-2024-45051Discourse — это платформа с открытым исходным кодом для обсуждений в сообществе. Злонамеренно созданный адрес электронной почты может позволить злоумышленнику обойти ограничения на основе домена и получить доступ к частным сайтам, категориям и/или группам. Эта проблема была исправлена в последней стабильной, бета-версии и версии Discourse, прошедшей тесты. Всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2025-48877Discourse - это платформа для обсуждений с открытым исходным кодом. В версии `stable` до 3.4.4, версии `beta` до 3.5.0.beta5 и версии `tests-passed` до 3.5.0.beta6-dev присутствует Codepen в настройке `allowed_iframes` по умолчанию, что потенциально может выполнять произвольный JS в области iframe, что не предусмотрено [1]. Проблема исправлена в версии 3.4.4 `stable`, версии 3.5.0.beta5 `beta` и версии 3.5.0.beta6-dev `tests-passed`. В качестве обходного решения можно удалить префикс Codepen из `allowed_iframes` сайта.
Источники:
- [1] https://github.com/discourse/discourse/security/advisories/GHSA-cm93-6m2m-cjcv
CVE-2023-46241`discourse-microsoft-auth` — это плагин, который обеспечивает аутентификацию через Microsoft. На сайтах с включенным плагином `discourse-microsoft-auth` злоумышленник может потенциально получить контроль над учетной записью Discourse жертвы. Сайты, которые настроили тип учетной записи своего приложения на любой вариант, отличный от `Только учетные записи в этом организационном каталоге (только O365 — один клиент)`, уязвимы. Эта уязвимость была исправлена в коммите c40665f44509724b64938c85def9fb2e79f62ec8 `discourse-microsoft-auth`. Также была добавлена задача rake `microsoft_auth:revoke`, которая деактивирует и выйдет из всех пользователей, подключивших свои учетные записи к Microsoft. Ключи API пользователя, а также ключи API, созданные этими пользователями, также будут отозваны. Задача rake также удалит записи подключения к Microsoft для этих пользователей. Это позволит затронутым пользователям повторно подтвердить свои адреса электронной почты учетной записи, а также повторно подключить свою учетную запись Discourse для аутентификации. В качестве обходного пути отключите плагин `discourse-microsoft-auth`, установив для параметра сайта `microsoft_auth_enabled` значение `false`. Запустите задачу rake `microsoft_auth:log_out_users`, чтобы выйти из всех пользователей, связанных с учетными записями Microsoft.
CVE-2023-28112Discourse - это платформа для обсуждений с открытым исходным кодом. До версии 3.1.0.beta3 веток `beta` и `tests-passed` некоторые URL-адреса, предоставленные пользователем, передавались в FastImage без защиты SSRF. Недостаточные меры защиты могут позволить злоумышленникам инициировать исходящие сетевые подключения с сервера Discourse к частным IP-адресам. Это влияет на любой сайт, работающий на ветках `tests-passed` или `beta` версий 3.1.0.beta2 и более ранних. Проблема устранена в версии 3.1.0.beta3 веток `beta` и `tests-passed`. Известных обходных путей нет.
CVE-2022-46177Discourse — это платформа для обсуждений с открытым исходным кодом. До версии 2.8.14 в ветке `stable` и версии 3.0.0.beta16 в ветках `beta` и `tests-passed`, когда пользователь запрашивает электронное письмо со ссылкой для сброса пароля, а затем изменяет свой основной адрес электронной почты, старое электронное письмо для сброса все еще действительно. Когда старое электронное письмо для сброса используется для сброса пароля, основной адрес электронной почты учетной записи Discourse будет повторно привязан к старому адресу электронной почты. Если старый адрес электронной почты скомпрометирован или передал право собственности, это приведет к захвату учетной записи. Однако это смягчается настройкой сайта `email_token_valid_hours`, которая в настоящее время составляет 48 часов. Пользователи должны обновиться до версий 2.8.14 или 3.0.0.beta15, чтобы получить исправление. В качестве обходного пути уменьшите `email_token_valid_hours` по мере необходимости.
CVE-2026-26265Discourse - это дискуссионная площадка с открытым исходным кодом. До версий 2025.12.2, 2026.1.1 и 2026.2.0 уязвимость IDOR в элементах каталога конечная точка задач позволяет любому пользователю, включая анонимных пользователей, получать значения поля частных пользователей для всех пользователей в каталоге. Параметр `user_field_ids` в `DirectoryItemsController#index` принимает произвольные идентификаторы поля пользователя без проверки авторизации, минуя ограничения видимости (`show_on_profile`` / `show_on_user_card`), которые применяются в другом месте (например, `UserCardSerializer` через `Guardian#alowed_user_field_ids`). Злоумышленник может запросить `GET /directory_items.json?period=all&user_field_ids=<id>` с любым идентификатором частного поля и получить значение этого поля для каждого пользователя в ответе каталога. Это позволяет массовую эксфильтрацию личных пользовательских данных, таких как номера телефонов, адреса или другие конфиденциальные пользовательские поля, которые администраторы явно настроены как непубличные. Выпуск исправлен в версиях 2025.12.2, 2026.1.1 и 2026.2.0 путем фильтрации `user_field_ids` по адресу `UserField.public_fields` для пользователей, не являющихся посохами, перед созданием пользовательской карты поля. В качестве обходного действия администраторы сайта могут удалять конфиденциальные данные из полей частных пользователей или отключать каталог пользователей через настройку сайта `onable_user_directory`.
CVE-2026-26078Discourse - это дискуссионная площадка с открытым исходным кодом. До версий 2025.12.2, 2026.1.1 и 2026.2.0, когда настройка сайта «patreon_webhook_secret`» пуста, злоумышленник может подделывать действительные подписи Webhook, вычислив HMAC-MD5 с пустой строкой в качестве ключа. Поскольку тело запроса известно отправителю, злоумышленник может произвести соответствующую подпись и отправить произвольные полезные нагрузки веб-хука. Это позволяет несанкционированное создание, модификацию или удаление данных о залоге Patreon и вызывать синхронизацию между патронами и группами. Эта уязвимость исправлена в версиях 2025.12.2, 2026.1.1 и 2026.2.0. Исправление отклоняет запросы вебкрюк, когда секрет webhook не настроен, предотвращая подделку подписи пустым ключом. В качестве обходного действия настройте настройку сайта `patreon_webhook_secret` с сильным, непустым секретным значением. Когда секрет не пуст, злоумышленник не может подделывать действительные подписи, не зная секрета.