Discourse is an open source discussion platform. In versions prior to 3.5.4, 2025.11.2, 2025.12.1, and 2026.1.0, permalinks pointing to access-restricted resources (private topics, categories, posts, or hidden tags) were redirecting users to URLs containing the resource slug, even when the user didn't have access to view the resource. This leaked potentially sensitive information (e.g., private topic titles) via the redirect Location header and the 404 page's search box. This issue is patched in versions 3.5.4, 2025.11.2, 2025.12.1, and 2026.1.0. No known workarounds are available.
Discourse versions prior to 3.5.4 leak sensitive information through redirect headers when users access permalinks to restricted resources they cannot view. Private topic titles and other restricted content slugs are exposed via Location headers and 404 pages, potentially compromising organizational confidentiality.
يؤثر هذا الثغر على منصات Discourse المستخدمة للتواصل الداخلي والمناقشات الحساسة. يسمح بتسرب أسماء المواضيع الخاصة والفئات المقيدة من خلال رؤوس HTTP وصفحات الخطأ. قد يؤدي إلى الكشف عن معلومات تنظيمية حساسة وتسهيل هجمات المعلومات الاستخباراتية.
إصدارات Discourse السابقة للإصدار 3.5.4 تسرب معلومات حساسة من خلال رؤوس إعادة التوجيه عندما يحاول المستخدمون الوصول إلى روابط دائمة للموارد المقيدة. يتم الكشف عن عناوين المواضيع الخاصة وملخصات المحتوى المقيد الأخرى عبر رؤوس الموقع وصفحات الخطأ 404.
Upgrade Discourse to version 3.5.4, 2025.11.2, 2025.12.1, or 2026.1.0 or later immediately. Review access control policies for private topics, categories, and hidden tags. Audit logs for unauthorized permalink access attempts. Implement rate limiting on permalink requests to prevent enumeration attacks.
قم بترقية Discourse إلى الإصدار 3.5.4 أو 2025.11.2 أو 2025.12.1 أو 2026.1.0 أو أحدث فوراً. راجع سياسات التحكم في الوصول للمواضيع الخاصة والفئات والعلامات المخفية. تدقيق السجلات للوصول غير المصرح به إلى الروابط الدائمة. تطبيق تحديد معدل الطلبات على طلبات الروابط الدائمة لمنع هجمات التعداد.