Vulnerabilities ›

CVE-2026-23743

High

Discourse is an open source discussion platform. In versions prior to 3.5.4, 2025.11.2, 2025.12.1, and 2026.1.0, permalinks pointing to access-restricted resources (private topics, categories, posts,

CWE-200 — Weakness Type

                    Published: Jan 28, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

Discourse is an open source discussion platform. In versions prior to 3.5.4, 2025.11.2, 2025.12.1, and 2026.1.0, permalinks pointing to access-restricted resources (private topics, categories, posts, or hidden tags) were redirecting users to URLs containing the resource slug, even when the user didn't have access to view the resource. This leaked potentially sensitive information (e.g., private topic titles) via the redirect Location header and the 404 page's search box. This issue is patched in versions 3.5.4, 2025.11.2, 2025.12.1, and 2026.1.0. No known workarounds are available.

🤖 AI Executive Summary

Discourse versions prior to 3.5.4 leak sensitive information through redirect headers when users access permalinks to restricted resources they cannot view. Private topic titles and other restricted content slugs are exposed via Location headers and 404 pages, potentially compromising organizational confidentiality.

📄 Description (Arabic)

يؤثر هذا الثغر على منصات Discourse المستخدمة للتواصل الداخلي والمناقشات الحساسة. يسمح بتسرب أسماء المواضيع الخاصة والفئات المقيدة من خلال رؤوس HTTP وصفحات الخطأ. قد يؤدي إلى الكشف عن معلومات تنظيمية حساسة وتسهيل هجمات المعلومات الاستخباراتية.

🤖 ملخص تنفيذي (AI)

إصدارات Discourse السابقة للإصدار 3.5.4 تسرب معلومات حساسة من خلال رؤوس إعادة التوجيه عندما يحاول المستخدمون الوصول إلى روابط دائمة للموارد المقيدة. يتم الكشف عن عناوين المواضيع الخاصة وملخصات المحتوى المقيد الأخرى عبر رؤوس الموقع وصفحات الخطأ 404.

🤖 AI Intelligence Analysis Analyzed: May 4, 2026 07:49

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government telecom banking healthcare

🎯 MITRE ATT&CK Techniques

T1040 T1592 T1598

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Discourse to version 3.5.4, 2025.11.2, 2025.12.1, or 2026.1.0 or later immediately. Review access control policies for private topics, categories, and hidden tags. Audit logs for unauthorized permalink access attempts. Implement rate limiting on permalink requests to prevent enumeration attacks.

🔧 خطوات المعالجة (العربية)

قم بترقية Discourse إلى الإصدار 3.5.4 أو 2025.11.2 أو 2025.12.1 أو 2026.1.0 أو أحدث فوراً. راجع سياسات التحكم في الوصول للمواضيع الخاصة والفئات والعلامات المخفية. تدقيق السجلات للوصول غير المصرح به إلى الروابط الدائمة. تطبيق تحديد معدل الطلبات على طلبات الروابط الدائمة لمنع هجمات التعداد.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-3 AC-4 SI-4

🟡 ISO 27001:2022

A.6.1.2 A.13.1.1 A.13.2.1

🔗 References & Sources 1

🔗

https://github.com/discourse/discourse/security/advisories/GHSA-v5jw-rxc6-4cvv

security-advisories@github.com

Third Party Advisory

📦 Affected Products / CPE 4 entries

discourse:discourse

discourse:discourse:2025.12.0

discourse:discourse:2026.1.0

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-200

EPSS0.04%

Exploit No

Patch ✓ Yes

Published 2026-01-28

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-200

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-23743

💬 Comments

Introduce Yourself

Sign In Required