目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-32620— Discourse 信息泄露漏洞

EPSS 0.04% · P11
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-32620の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Discourse: Missing post-level authorization allows whisper metadata disclosure
ソース: NVD (National Vulnerability Database)
脆弱性説明
Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.3, 2026.2.0-latest to before 2026.2.2, and 2026.3.0-latest to before 2026.3.0, non-staff users could access read receipt information for staff-only posts they weren't supposed to see. No post content was exposed, only metadata about who read the post and when. This issue has been patched in versions 2026.1.3, 2026.2.2, and 2026.3.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
信息暴露
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Discourse 信息泄露漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Discourse是Discourse开源的一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。 Discourse 2026.1.3之前版本、2026.2.2之前版本和2026.3.0之前版本存在信息泄露漏洞,该漏洞源于非员工用户可访问其不应查看的仅限员工帖子的已读回执信息,可能导致元数据泄露。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
discoursediscourse >= 2026.1.0-latest, < 2026.1.3 -

II. CVE-2026-32620の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-32620のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · discourse · 2026-03-31 · 15 CVEs total

CVE-2026-322735.4 MEDIUMDiscourse: XSS on category description update via API
CVE-2026-326184.3 MEDIUMDiscourse: Unauthorized channel membership inference via excluded_memberships_channel_id
CVE-2026-329514.3 MEDIUMDiscourse: Authorization bypass in oneboxer via user-controlled category id
CVE-2026-32113Discourse: Open redirect via `sso_destination_url` cookie in `enter`
CVE-2026-32607Discourse: Stored XSS via unescaped assignee name
CVE-2026-32619Discourse: Insufficient topic visibility check allows unauthorized poll manipulation in pr
CVE-2026-32243Discourse: Stored XSS in discourse-ai shared conversations onebox
CVE-2026-32615Discourse: Category group moderators can perform actions on topics in restricted categorie
CVE-2026-32143Discourse: Admin-only report can be exported by moderators
CVE-2026-33074Discourse: Vulnerability in discourse-subscriptions plugin allowing users to self-grant to
CVE-2026-33073discourse-subscriptions plugin leaking stripe API key in multisite environment
CVE-2026-33415Discourse: Improper Access Control in discourse-ai Allows Unauthorized Category Content Ex
CVE-2026-33300Discourse: Hidden group names and access metadata are exposed to moderators through the `c
CVE-2026-33185Discourse: Group SMTP test endpoint susceptible to SSRF

IV. 関連脆弱性

同じ製品: discourse
同じベンダー: discourse
同じ弱点: CWE-200

V. CVE-2026-32620へのコメント

まだコメントはありません

コメントを残す