Plataforma
discourse
Componente
discourse-subscriptions
Corregido en
2026.1.1
2026.2.1
2026.3.1
La vulnerabilidad CVE-2026-33074 afecta al plugin discourse-subscriptions de Discourse, una plataforma de discusión de código abierto. Esta falla permite a un usuario adquirir una suscripción de un nivel inferior, pero obtener los beneficios asociados a un nivel superior, lo que podría resultar en un acceso no autorizado a funcionalidades premium. La vulnerabilidad afecta a las versiones desde 2026.1.0 hasta antes de 2026.3.0. Se ha solucionado en las versiones 2026.1.3, 2026.2.2 y 2026.3.0.
Un atacante podría explotar esta vulnerabilidad para obtener acceso a funcionalidades premium de Discourse sin pagar por ellas. Esto podría incluir la capacidad de publicar contenido restringido, acceder a foros privados o utilizar otras características que normalmente solo están disponibles para los suscriptores de niveles superiores. El impacto principal es la pérdida de ingresos para los administradores de Discourse y la posibilidad de que los usuarios obtengan acceso a información o funcionalidades a las que no deberían tener acceso. La severidad de esta vulnerabilidad reside en la facilidad con la que un usuario con acceso a la plataforma puede manipular el sistema de suscripciones.
La vulnerabilidad fue publicada el 31 de marzo de 2026. No se ha añadido a KEV ni se ha reportado una puntuación EPSS. Actualmente no se conocen pruebas de concepto (PoCs) públicas, pero la naturaleza de la vulnerabilidad sugiere que podría ser relativamente fácil de explotar una vez que se disponga de una PoC. Se recomienda a los administradores de Discourse que apliquen la actualización lo antes posible para mitigar el riesgo.
Discourse instances utilizing the discourse-subscriptions plugin, particularly those running versions 2026.1.0–>= 2026.3.0-latest, and < 2026.3.0, are at risk. This includes organizations relying on Discourse for community forums and those monetizing their platforms through subscription tiers.
• wordpress / composer / npm:
grep -r 'subscriptions.purchase' /var/discourse/plugins/• generic web:
curl -I https://your-discourse-instance.com/subscriptions/purchase | grep HTTP/1.1 200 OKdisclosure
Estado del Exploit
EPSS
0.05% (17% percentil)
CISA SSVC
La mitigación principal para CVE-2026-33074 es actualizar el plugin discourse-subscriptions a la versión 2026.1.3, 2026.2.2 o 2026.3.0. Si la actualización causa problemas de compatibilidad, se recomienda realizar una copia de seguridad completa de la base de datos de Discourse antes de aplicar la actualización. Como medida temporal, los administradores pueden revisar manualmente las suscripciones de los usuarios para detectar cualquier anomalía. No existen firmas de detección específicas para esta vulnerabilidad, pero se recomienda monitorear los registros de la aplicación en busca de patrones de comportamiento inusuales relacionados con las suscripciones.
Actualice el plugin discourse-subscriptions a las versiones 2026.1.3, 2026.2.2 o 2026.3.0, o a una versión posterior. Esto corregirá la vulnerabilidad que permite a los usuarios auto-asignarse beneficios de suscripciones de nivel superior.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33074 is a vulnerability in the Discourse platform's discourse-subscriptions plugin that allows users to potentially gain access to higher-tier subscription benefits by purchasing a lower tier. This impacts subscription functionality and could lead to unauthorized access.
You are affected if your Discourse instance uses the discourse-subscriptions plugin and is running versions 2026.1.0–>= 2026.3.0-latest, and < 2026.3.0. Check your version and upgrade if necessary.
Upgrade your Discourse instance to version 2026.1.3, 2026.2.2, or 2026.3.0. These versions include a patch for this vulnerability.
As of now, there are no known active exploits or confirmed exploitation campaigns targeting CVE-2026-33074.
Refer to the official Discourse security advisory for detailed information and updates regarding CVE-2026-33074: [https://github.com/discourse/discourse/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory URL)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.