关键信息 漏洞详情 标题: Authentication bypass vulnerability in the Patreon plugin webhook endpoint 标识: GHSA-frx4-wg35-4r68 发布者: davidtaylorh9 发布时间: 4 hours ago 严重程度: 高 (7.5/10) 影响 当 站点设置为空时,攻击者可以通过使用空字符串作为密钥计算 HMAC-MD5 来伪造有效的 webhook 签名。由于请求正文对发送方已知,攻击者可以生成匹配的签名并发送任意 webhook 负载,从而允许未经授权创建、修改或删除 Patreon 认证数据和触发 patron-to-group 同步。 修复 在 Discourse 的最新版本中修复了此漏洞。修复措施将在 webhook 密钥未配置时拒绝 webhook 请求,防止使用空密钥进行签名伪造。 临时解决方法 配置 站点设置为强且不为空的密钥值。当密钥非空时,攻击者无法在不知道密钥的情况下伪造有效签名。 影响版本 受影响版本: >= 0, >= 2026.1.0-latest, >= 2026.2.0-latest 已修复版本: 2025.12.2, 2026.1.1, 2026.2.0 CVE ID CVE-2026-26078 弱点 无 CWEs CVSS v3 基本指标 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 无 作用范围: 未更改 机密性: 无 完整性: 高 可用性: 无