Discourse - это дискуссионная площадка с открытым исходным кодом. Версии до 2025.12.2, 2026.1.1 и 2026.2.0 имеют IDOR (Insecure Direct Obje…
Discourse - это дискуссионная площадка с открытым исходным кодом. Версии до 2025.12.2, 2026.1.1 и 2026.2.0 имеют IDOR (Insecure Direct Object Reference) в «Reviewable NotesController». Когда включен `onable_category_group_moderation` пользователь, принадлежащий к группе модерации категорий, может создавать или удалять свои собственные заметки на **any**, рассматриваемые в системе, включая обзоры в категориях, которые они не модерируют. Контроллер использовал необдуманную `Reviewable.find`, и охранник `sure_can_see` только проверял, может ли пользователь получить доступ к очереди на обзор в целом, а не может ли он получить доступ к конкретному обзору. Затрагиваются только случаи с `a willl_category_group_moderation`. Пользователи персонала (администраторы/модераторы) не страдают, поскольку они уже имеют доступ ко всем отзывам. Выпуск исправлен в версиях 2025.12.2, 2026.1.1 и 2026.2.0 путем анализа рецензируемого поиска через `Reviewable.viewable.viewable_by(current_user)`. В качестве обходного пути отключите настройку сайта `able_category_group_moderation`. Это устраняет поверхность атаки, так как только пользователи персонала будут иметь доступ к очереди обзора.
Продукт выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие, однако не осуществляет эту проверку корректно.
https://cwe.mitre.org/data/definitions/863.html →Открыть в коллекции CWE →