目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1325 CNY

100%
コーヒーを一杯おごる

CVE-2026-47263— Discourse 信息泄露漏洞

CVSS 4.3 · Medium EPSS 0.18% · P8

Possible ATT&CK Techniques 1AI

T1005 · Data from Local System

Affected Version Matrix 3

ベンダープロダクトVersion Rangeステータス
discoursediscourse>= 2026.1.0-latest, < 2026.1.4affected
>= 2026.3.0-latest, < 2026.3.1affected
>= 2026.4.0-latest, < 2026.4.1affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-47263の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Discourse: Prevent webhook payload disclosure on event redelivery
ソース: NVD (National Vulnerability Database)
脆弱性説明
Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, the MessageBus.publish call for /web_hook_events/<id> in Jobs::RedeliverWebHookEvents did not pass group_ids, leaving the channel readable by any authenticated user (or anonymous user on instances where login_required is disabled). Webhook IDs are sequential integers and trivially enumerable. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
信息暴露
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Discourse 信息泄露漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Discourse是Discourse社区开源的一套开源的社区讨论平台。 该平台包括社区、电子邮件和聊天室等功能。 Discourse 2026.1.0-latest至2026.1.4之前版本、2026.3.0-latest至2026.3.1之前版本和2026.4.0-latest至2026.4.1之前版本存在信息泄露漏洞,该漏洞源于Jobs::RedeliverWebHookEvents中的MessageBus.publish调用未传递group_ids,导致任意认证用户(或登录被禁用的匿名用户)可读取
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
discoursediscourse >= 2026.1.0-latest, < 2026.1.4 -

II. CVE-2026-47263の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-47263のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-47263 厂商安全公告 (1)

Same Patch Batch · discourse · 2026-06-12 · 11 CVEs total

CVE-2026-447867.5 HIGHDiscourse: Public chat MessageBus broadcasts are not restricted to chat-eligible users
CVE-2026-457756.8 MEDIUMDiscourse: Cross-site backup access via path traversal in multisite local backups
CVE-2026-447846.5 MEDIUMDiscourse: Non-staff group owners can see email password in plaintext through group histor
CVE-2026-447835.4 MEDIUMDiscourse: Replying to a whisper lets non-whisperers create staff-only whisper posts
CVE-2026-450855.3 MEDIUMDiscourse: Chat misauthorization and information disclosure
CVE-2026-472645.3 MEDIUMDiscourse: Don't leak restricted tag group names via tag info
CVE-2026-447794.3 MEDIUMDiscourse: Bot debug endpoints disclose whisper translation audit logs
CVE-2026-447804.3 MEDIUMDiscourse: Category queue reviewers can read raw incoming emails from queued posts
CVE-2026-447824.3 MEDIUMDiscourse: GroupPostSerializer leaks hidden full names through reaction post association
CVE-2026-447854.3 MEDIUMDiscourse: Hidden reply-to post raw can be disclosed through AI explain prompts

IV. 関連脆弱性

同じ製品: discourse
同じベンダー: discourse
同じ弱点: CWE-200

V. CVE-2026-47263へのコメント

まだコメントはありません

コメントを残す