Platform
discourse
Component
discourse
Opgelost in
2026.3.1
2026.2.1
2026.1.1
CVE-2026-30888 beschrijft een Privilege Escalation kwetsbaarheid in Discourse, een open-source discussieplatform. Deze kwetsbaarheid stelt moderators in staat om site policy documenten (Algemene Voorwaarden, richtlijnen, privacybeleid) te bewerken, ondanks dat ze daar expliciet van weerhouden zijn. De kwetsbaarheid treft Discourse versies ≤ 2026.2.0-latest en < 2026.2.1. Een patch is beschikbaar in versies 2026.3.0-latest.1, 2026.2.1 en 2026.1.2.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een kwaadwillende moderator in staat om de site policy documenten van een Discourse-installatie te wijzigen. Dit kan leiden tot misleidende informatie voor gebruikers, het verspreiden van schadelijke content of het manipuleren van de gebruikerservaring. De impact is relatief beperkt, aangezien de kwetsbaarheid alleen door moderators kan worden misbruikt en geen directe toegang tot de onderliggende server biedt. Echter, het compromitteren van de site policy documenten kan de reputatie van de website schaden en het vertrouwen van gebruikers ondermijnen.
Op dit moment zijn er geen publieke proof-of-concept exploits bekend voor CVE-2026-30888. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV). De lage CVSS score suggereert een lage waarschijnlijkheid van actieve exploitatie, maar het is belangrijk om de patch zo snel mogelijk toe te passen om het risico te minimaliseren.
Organizations and communities using Discourse for their online forums or discussion platforms are at risk. This includes businesses, educational institutions, and non-profit organizations. Specifically, those running older, unpatched Discourse instances are most vulnerable. Administrators who have granted moderator privileges to users without proper oversight should also be concerned.
• discourse: Check Discourse version using discourse-doctor. If the version is vulnerable (≤ 2026.2.0-latest and < 2026.2.1), prioritize upgrading.
• generic web: Monitor Discourse access logs for unusual activity related to policy document modification attempts. Look for POST requests to /admin/site-policy from moderator accounts.
• generic web: Review Discourse database for unauthorized changes to site policy documents. Specifically, examine the site_policy table for unexpected modifications.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-30888 is het upgraden van de Discourse-installatie naar een versie die de patch bevat. Dit omvat versies 2026.3.0-latest.1, 2026.2.1 of 2026.1.2. Er zijn geen bekende workarounds beschikbaar om deze kwetsbaarheid te verhelpen zonder te upgraden. Voer een volledige back-up van de Discourse-database en bestanden uit voordat u de upgrade uitvoert. Na de upgrade, controleer de site policy documenten om te bevestigen dat ze niet zijn gewijzigd door een kwaadwillende actor.
Werk Discourse bij naar versie 2026.3.0-latest.1, 2026.2.1 of 2026.1.2, of een latere versie, om de privilege escalatie kwetsbaarheid te verhelpen. Er zijn geen bekende workarounds.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-30888 is a vulnerability in Discourse that allows moderators to edit site policy documents they shouldn't be able to, potentially altering terms of service or privacy policies.
You are affected if you are running Discourse versions less than or equal to 2026.2.0-latest or versions before 2026.2.1. Check your version and upgrade if necessary.
Upgrade your Discourse installation to version 2026.3.0-latest.1, 2026.2.1, or 2026.1.2. No workarounds are available.
Currently, there are no publicly known exploits or confirmed active exploitation campaigns for CVE-2026-30888.
Refer to the official Discourse security advisory for details: [https://github.com/discourse/discourse/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.