Plateforme
discourse
Composant
discourse
Corrigé dans
2026.3.1
2026.2.1
2026.1.1
La vulnérabilité CVE-2026-30888 est une élévation de privilèges affectant le logiciel de forum open-source Discourse. Elle permet à un utilisateur avec les droits de modérateur de modifier des documents de politique du site (conditions d'utilisation, directives, politique de confidentialité) qu'il n'est pas censé pouvoir modifier. Cette faille touche les versions antérieures à 2026.3.0-latest.1, 2026.2.1 et 2026.1.2, et a été corrigée dans ces versions.
Cette vulnérabilité permet à un modérateur malveillant ou compromis de manipuler les politiques du site, ce qui peut avoir des conséquences significatives sur la réputation, la conformité légale et la confiance des utilisateurs. Un modérateur pourrait, par exemple, modifier les conditions d'utilisation pour permettre des activités illégales ou nuire aux utilisateurs. Bien que la sévérité soit classée comme faible, l'impact potentiel sur la gestion et la perception du site est non négligeable, surtout si les politiques modifiées sont largement diffusées et acceptées par les utilisateurs.
Cette vulnérabilité a été rendue publique le 20 mars 2026. Il n'y a pas d'indications d'exploitation active à ce jour. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. Aucune preuve de code d'exploitation (PoC) publique n'est actuellement disponible.
Organizations and communities using Discourse for their online forums or discussion platforms are at risk. This includes businesses, educational institutions, and non-profit organizations. Specifically, those running older, unpatched Discourse instances are most vulnerable. Administrators who have granted moderator privileges to users without proper oversight should also be concerned.
• discourse: Check Discourse version using discourse-doctor. If the version is vulnerable (≤ 2026.2.0-latest and < 2026.2.1), prioritize upgrading.
• generic web: Monitor Discourse access logs for unusual activity related to policy document modification attempts. Look for POST requests to /admin/site-policy from moderator accounts.
• generic web: Review Discourse database for unauthorized changes to site policy documents. Specifically, examine the site_policy table for unexpected modifications.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour Discourse vers une version corrigée : 2026.3.0-latest.1, 2026.2.1 ou 2026.1.2. En l'absence de possibilité de mise à jour immédiate, il n'existe pas de contournement connu. Il est crucial de surveiller attentivement les activités des modérateurs et de limiter leurs privilèges autant que possible. Une revue régulière des documents de politique du site est également recommandée pour détecter toute modification non autorisée.
Mettez à jour Discourse à la version 2026.3.0-latest.1, 2026.2.1 ou 2026.1.2, ou à une version ultérieure, pour corriger la vulnérabilité d'élévation de privilèges. Aucun contournement connu n'existe.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-30888 is a vulnerability in Discourse that allows moderators to edit site policy documents they shouldn't be able to, potentially altering terms of service or privacy policies.
You are affected if you are running Discourse versions less than or equal to 2026.2.0-latest or versions before 2026.2.1. Check your version and upgrade if necessary.
Upgrade your Discourse installation to version 2026.3.0-latest.1, 2026.2.1, or 2026.1.2. No workarounds are available.
Currently, there are no publicly known exploits or confirmed active exploitation campaigns for CVE-2026-30888.
Refer to the official Discourse security advisory for details: [https://github.com/discourse/discourse/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.