Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, several webhook endpoints (SendGrid, Mailjet, Mandrill, Postmark, SparkPost) in the `WebhooksController` accepted requests without a valid authentication token when no token was configured. This allowed unauthenticated attackers to forge webhook payloads and artificially inflate user bounce scores, potentially causing legitimate user emails to be disabled. The Mailpace endpoint had no token validation at all. Starting in versions 2025.12.2, 2026.1.1, and 2026.2.0, all webhook endpoints reject requests with a 406 response when no authentication token is configured. As a workaround, ensure that webhook authentication tokens are configured for all email provider integrations in site settings (e.g., `sendgrid_verification_key`, `mailjet_webhook_token`, `postmark_webhook_token`, `sparkpost_webhook_token`). There's no current workaround for mailpace before getting this fix.
Discourse webhook endpoints for email providers (SendGrid, Mailjet, Mandrill, Postmark, SparkPost) lack proper authentication when tokens are unconfigured, allowing attackers to forge webhook payloads and disable legitimate user emails. The vulnerability affects versions prior to 2025.12.2, 2026.1.1, and 2026.2.0, with fixes implemented to reject unauthenticated requests.
تحتوي نقاط نهاية البريد الإلكتروني في Discourse على ثغرة مصادقة تسمح بقبول طلبات غير مصرح بها عندما لا يتم تكوين رموز التحقق. يمكن للمهاجمين استخدام هذه الثغرة لتزوير رسائل البريد الإلكتروني وتعطيل حسابات المستخدمين الشرعيين. تم إصلاح المشكلة في الإصدارات الأخيرة برفض الطلبات غير المصرح بها.
ثغرة في نقاط نهاية Discourse للبريد الإلكتروني تسمح بإرسال رسائل مزيفة عند عدم تكوين رموز المصادقة، مما قد يؤدي إلى تعطيل حسابات المستخدمين الشرعيين. تؤثر الثغرة على الإصدارات السابقة للإصدارات 2025.12.2 و2026.1.1 و2026.2.0.
Upgrade Discourse to versions 2025.12.2, 2026.1.1, or 2026.2.0 or later immediately. Configure webhook authentication tokens for all email provider integrations in site settings including sendgrid_verification_key, mailjet_webhook_token, postmark_webhook_token, and sparkpost_webhook_token. Verify token configuration is complete before relying on webhook functionality.
قم بترقية Discourse إلى الإصدارات 2025.12.2 أو 2026.1.1 أو 2026.2.0 أو أحدث فوراً. قم بتكوين رموز مصادقة البريد الإلكتروني لجميع تكاملات موفري البريد في إعدادات الموقع. تحقق من اكتمال تكوين الرموز قبل الاعتماد على وظيفة البريد الإلكتروني.