漏洞信息 标题: Privilege Escalation via Mass Assignment Allows Regular Users to Set Topics as Global Banners GHSA ID: GHSA-8v26-9f7h-jc8x CVE ID: CVE-2026-28219 发布: 10 hours ago by davidtaylorhq 受影响的包和版本 包: Discourse 受影响版本: - >= 0 - >= 2026.1.0-latest - >= 2026.2.0-latest 修复版本: - 2025.12.2 - 2026.1.1 - 2026.2.0 漏洞描述和影响 描述: 在主题管理逻辑中未经授权的检查允许认证用户修改其主题的特权属性。通过操作特定参数在PUT或POST请求中,普通用户可以提升主题状态为全站通知或横幅,绕过预期的管理限制。 工作区: 除了应用安全补丁外,没有实际的变通方法。担心未经授权的提升的管理员应该在修复部署之前审计最近对站点横幅和全局通知的更改。 严重程度 严重度: Low (0.0 / 10) CVSS v4 Base Metrics: - 攻击向量: Network - 攻击复杂度: Low - 攻击必要条件: None - 所需权限: Low - 用户交互: None - 机密性: None - 完整性: None - 可用性: None 后续系统影响度量: - 机密性: None - 完整性: None - 可用性: None 弱点 CWE: CWE-915