根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: Hidden group names and access metadata are exposed to moderators through the 'category-chatables' endpoint (通过 'category-chatables' 端点向版主泄露隐藏群组名称和访问元数据)。 严重程度 (Severity): 5.3 / 10 (Medium)。 描述 (Description): 这是一个授权绕过漏洞 (Authorization bypass),存在于 Category Chatables Controller 中。它允许版主 (moderators) 获取关于隐藏群组名称和用户的信息。 影响 (Impact): 允许版主获取隐藏群组名称和用户信息。 2. 影响范围 (Affected Scope): 软件 (Software): Discourse。 受影响版本 (Affected versions): >= 0 (即所有版本),具体包括 >= 2026.2.0-latest 和 >= 2026.1.0-latest。 已修复版本 (Patched versions): 2026.3.0, 2026.2.2, 2026.1.3。 CVSS 指标: Attack Vector: Network Attack Complexity: Low Attack Requirements: None Privileges Required: Low User Interaction: None Confidentiality/Integrity/Availability (Subsequent System Impact): None/Low 3. 修复方案 (Remediation): 补丁 (Patches): 问题已修复。建议用户升级到最新版本的 Discourse。 变通方法 (Workarounds): 没有已知的变通方法。建议升级。 4. 代码检查 (Code Check): 浏览截图,没有发现任何 POC 代码或利用代码块。只有文本描述和元数据。 5. 格式化输出: 将上述信息整理成简洁的中文markdown。 Drafting the response: 标题: 漏洞总结 概述: 描述漏洞性质(授权绕过)、受影响角色(版主)、泄露内容(隐藏群组名、用户信息)。 影响范围: 列出软件名、受影响版本、修复版本。 修复方案: 建议升级。 代码: 注明无代码。 Refining the content: 确保语言通顺、专业。 检查版本号是否准确。 确认没有遗漏关键信息(如CVSS分数)。 Final Polish: 漏洞概述: 这是一个中等严重程度的漏洞(CVSS 5.3),涉及 Discourse 平台中的授权绕过。攻击者(此处指拥有版主权限的用户)可以通过 端点获取本应隐藏的群组名称和用户访问元数据。 影响范围: 软件: Discourse 受影响版本: >= 0 (包括 >= 2026.2.0-latest 和 >= 2026.1.0-latest) 修复版本: 2026.3.0, 2026.2.2, 2026.1.3 修复方案: 官方已发布补丁。建议用户升级到最新版本的 Discourse。无已知变通方法。 代码: 截图中未包含 POC 或利用代码。 看起来没问题,开始生成最终输出。 漏洞总结 漏洞概述 漏洞名称: Hidden group names and access metadata are exposed to moderators through the 'category-chatables' endpoint 严重程度: 中等 (Medium, CVSS 5.3/10) 描述: 这是一个授权绕过漏洞(Authorization bypass),存在于 中。该漏洞允许拥有版主(moderator)权限的用户通过 端点获取关于隐藏群组名称和用户的信息。 影响: 允许版主获取隐藏群组名称和用户信息。 影响范围 软件: Discourse 受影响版本: >= 0 (具体包括 >= 2026.2.0-latest 和 >= 2026.1.0-latest) 已修复版本: 2026.3.0, 2026.2.2, 2026.1.3 修复方案 补丁: 问题已修复。建议用户升级到最新版本的 Discourse。 变通方法: 没有已知的变通方法。升级是推荐的解决方案。 代码/POC 截图中未包含 POC 代码或利用代码。