Plataforma
discourse
Componente
discourse
Corrigido em
2026.3.1
2026.2.1
2026.1.1
A vulnerabilidade CVE-2026-30888 é uma falha de escalada de privilégios identificada no Discourse, uma plataforma de discussão de código aberto. Essa falha permite que usuários com permissão de moderador editem documentos de política do site (Termos de Serviço, diretrizes, política de privacidade) que, por design, eles não deveriam modificar. A vulnerabilidade afeta versões do Discourse anteriores a 2026.3.0-latest.1, 2026.2.1 e 2026.1.2, sendo corrigida nessas versões.
A exploração bem-sucedida desta vulnerabilidade permite que um moderador, com privilégios limitados, altere documentos cruciais de política do site. Isso pode levar à manipulação das regras de uso da plataforma, alteração das políticas de privacidade ou até mesmo à inserção de conteúdo malicioso nos termos de serviço. O impacto direto é a perda de controle sobre a governança da plataforma, podendo comprometer a confiança dos usuários e a conformidade legal. Embora classificada como 'LOW' pelo CVSS, o potencial de dano reputacional e legal é significativo, especialmente em comunidades com políticas rigorosas.
Atualmente, não há relatos públicos de exploração ativa da vulnerabilidade CVE-2026-30888. A vulnerabilidade foi divulgada em 20 de março de 2026. Não está listada no KEV (CISA Known Exploited Vulnerabilities) nem possui uma pontuação EPSS (Exploit Prediction Scoring System) disponível. A ausência de um PoC público e a classificação de severidade baixa indicam uma probabilidade de exploração relativamente baixa, mas a atualização ainda é crucial para manter a segurança da plataforma.
Organizations and communities using Discourse for their online forums or discussion platforms are at risk. This includes businesses, educational institutions, and non-profit organizations. Specifically, those running older, unpatched Discourse instances are most vulnerable. Administrators who have granted moderator privileges to users without proper oversight should also be concerned.
• discourse: Check Discourse version using discourse-doctor. If the version is vulnerable (≤ 2026.2.0-latest and < 2026.2.1), prioritize upgrading.
• generic web: Monitor Discourse access logs for unusual activity related to policy document modification attempts. Look for POST requests to /admin/site-policy from moderator accounts.
• generic web: Review Discourse database for unauthorized changes to site policy documents. Specifically, examine the site_policy table for unexpected modifications.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-30888 é a atualização imediata do Discourse para uma versão corrigida: 2026.3.0-latest.1, 2026.2.1 ou 2026.1.2. Não há workarounds conhecidos para esta vulnerabilidade além da atualização. Antes de atualizar, é altamente recomendável realizar um backup completo do banco de dados do Discourse. Após a atualização, verifique se todos os documentos de política do site permanecem intactos e se as permissões de usuário estão configuradas corretamente, confirmando que os moderadores não conseguem editar os documentos de política.
Atualize Discourse para a versão 2026.3.0-latest.1, 2026.2.1 ou 2026.1.2, ou a uma versão posterior, para corrigir a vulnerabilidade de escalada de privilégios. Não existem workarounds conhecidos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-30888 is a vulnerability in Discourse that allows moderators to edit site policy documents they shouldn't be able to, potentially altering terms of service or privacy policies.
You are affected if you are running Discourse versions less than or equal to 2026.2.0-latest or versions before 2026.2.1. Check your version and upgrade if necessary.
Upgrade your Discourse installation to version 2026.3.0-latest.1, 2026.2.1, or 2026.1.2. No workarounds are available.
Currently, there are no publicly known exploits or confirmed active exploitation campaigns for CVE-2026-30888.
Refer to the official Discourse security advisory for details: [https://github.com/discourse/discourse/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.