Discourse - это дискуссионная площадка с открытым исходным кодом. До версий 2025.12.2, 2026.1.1 и 2026.2.0, когда настройка сайта «patreon_…

Discourse - это дискуссионная площадка с открытым исходным кодом. До версий 2025.12.2, 2026.1.1 и 2026.2.0, когда настройка сайта «patreon_webhook_secret`» пуста, злоумышленник может подделывать действительные подписи Webhook, вычислив HMAC-MD5 с пустой строкой в качестве ключа. Поскольку тело запроса известно отправителю, злоумышленник может произвести соответствующую подпись и отправить произвольные полезные нагрузки веб-хука. Это позволяет несанкционированное создание, модификацию или удаление данных о залоге Patreon и вызывать синхронизацию между патронами и группами. Эта уязвимость исправлена в версиях 2025.12.2, 2026.1.1 и 2026.2.0. Исправление отклоняет запросы вебкрюк, когда секрет webhook не настроен, предотвращая подделку подписи пустым ключом. В качестве обходного действия настройте настройку сайта `patreon_webhook_secret` с сильным, непустым секретным значением. Когда секрет не пуст, злоумышленник не может подделывать действительные подписи, не зная секрета.