प्लेटफ़ॉर्म
discourse
घटक
discourse
में ठीक किया गया
2026.3.1
2026.2.1
2026.1.1
CVE-2026-30888 Discourse में एक विशेषाधिकार वृद्धि भेद्यता है। यह भेद्यता मॉडरेटर को साइट पॉलिसी दस्तावेज़ों (सेवा की शर्तें, दिशानिर्देश, गोपनीयता नीति) को संपादित करने की अनुमति देती है, जिन्हें उन्हें स्पष्ट रूप से संशोधित करने से प्रतिबंधित किया गया है। यह भेद्यता Discourse संस्करणों ≤>= 2026.2.0-latest, < 2026.2.1 को प्रभावित करती है। 2026.3.0-latest.1, 2026.2.1, और 2026.1.2 संस्करणों में एक पैच जारी किया गया है।
इस भेद्यता का फायदा उठाकर, एक दुर्भावनापूर्ण मॉडरेटर साइट की नीतियों को बदल सकता है, जिससे उपयोगकर्ताओं पर प्रतिकूल प्रभाव पड़ सकता है। वे गलत जानकारी फैला सकते हैं, उपयोगकर्ताओं को धोखा दे सकते हैं, या साइट की प्रतिष्ठा को नुकसान पहुंचा सकते हैं। यह भेद्यता साइट के संचालन और विश्वसनीयता के लिए एक गंभीर खतरा है। इस भेद्यता का उपयोग साइट के नियंत्रण को हासिल करने और संवेदनशील डेटा तक पहुंचने के लिए भी किया जा सकता है।
CVE-2026-30888 को अभी तक सक्रिय रूप से शोषण करने के कोई प्रमाण नहीं मिले हैं। यह भेद्यता 2026-03-20 को प्रकाशित हुई थी। KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध कोई प्रमाण-अवधारणा (PoC) नहीं है।
Organizations and communities using Discourse for their online forums or discussion platforms are at risk. This includes businesses, educational institutions, and non-profit organizations. Specifically, those running older, unpatched Discourse instances are most vulnerable. Administrators who have granted moderator privileges to users without proper oversight should also be concerned.
• discourse: Check Discourse version using discourse-doctor. If the version is vulnerable (≤ 2026.2.0-latest and < 2026.2.1), prioritize upgrading.
• generic web: Monitor Discourse access logs for unusual activity related to policy document modification attempts. Look for POST requests to /admin/site-policy from moderator accounts.
• generic web: Review Discourse database for unauthorized changes to site policy documents. Specifically, examine the site_policy table for unexpected modifications.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Discourse को 2026.3.0-latest.1, 2026.2.1, या 2026.1.2 में तुरंत अपडेट करना आवश्यक है। चूंकि कोई ज्ञात कार्यarounds उपलब्ध नहीं हैं, इसलिए अपडेट करना ही एकमात्र प्रभावी उपाय है। सुनिश्चित करें कि आपके पास अपडेट करने से पहले अपने Discourse इंस्टॉलेशन का बैकअप है। अपडेट के बाद, यह सत्यापित करें कि मॉडरेटर अब साइट पॉलिसी दस्तावेज़ों को संपादित नहीं कर सकते हैं।
इस विशेषाधिकार वृद्धि भेद्यता को ठीक करने के लिए Discourse को संस्करण 2026.3.0-latest.1, 2026.2.1 या 2026.1.2, या बाद के संस्करण में अपडेट करें। कोई ज्ञात वर्कअराउंड नहीं हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-30888 Discourse में एक भेद्यता है जो मॉडरेटर को साइट पॉलिसी दस्तावेज़ों को संपादित करने की अनुमति देती है, जिसकी उन्हें अनुमति नहीं है।
यदि आप Discourse के संस्करणों ≤>= 2026.2.0-latest, < 2026.2.1 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Discourse को 2026.3.0-latest.1, 2026.2.1, या 2026.1.2 में तुरंत अपडेट करें।
CVE-2026-30888 के सक्रिय शोषण के कोई ज्ञात प्रमाण नहीं हैं।
आधिकारिक सलाहकार के लिए Discourse सुरक्षा सलाहकार पृष्ठ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।