Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, `posts_nearby` was checking topic access but then returning all posts regardless of type, including whispers that should only be visible to whisperers. Use `Post.secured(guardian)` to properly filter post types based on user permissions. Versions 2025.12.2, 2026.1.1, and 2026.2.0 patch the issue. No known workarounds are available.
Discourse discussion platform versions prior to 2025.12.2, 2026.1.1, and 2026.2.0 contain an information disclosure vulnerability where the posts_nearby function returns whispered posts to unauthorized users. The vulnerability allows users to view private whispered messages that should only be visible to designated whisperers, bypassing proper permission checks.
تحتوي منصة Discourse على ثغرة كشف معلومات في وظيفة posts_nearby التي تفشل في التحقق من نوع المنشور بشكل صحيح. تسمح الثغرة بإرجاع جميع المنشورات بما فيها الرسائل الهمسية الخاصة للمستخدمين غير المصرح لهم برؤيتها. يتم إصلاح المشكلة باستخدام Post.secured(guardian) للتصفية الصحيحة بناءً على أذونات المستخدم.
منصة Discourse للنقاش تحتوي على ثغرة كشف معلومات في الإصدارات السابقة للإصدارات 2025.12.2 و 2026.1.1 و 2026.2.0 حيث تعيد وظيفة posts_nearby الرسائل الهمسية للمستخدمين غير المصرح لهم. تسمح الثغرة للمستخدمين برؤية الرسائل الخاصة التي يجب أن تكون مرئية فقط للمخاطبين المعينين.
Upgrade Discourse to version 2025.12.2, 2026.1.1, or 2026.2.0 or later immediately. Ensure Post.secured(guardian) is properly implemented in posts_nearby function to filter posts based on user permissions. Review access logs for unauthorized whisper post access and audit user permissions.
قم بترقية Discourse إلى الإصدار 2025.12.2 أو 2026.1.1 أو 2026.2.0 أو أحدث فوراً. تأكد من تطبيق Post.secured(guardian) بشكل صحيح في وظيفة posts_nearby لتصفية المنشورات بناءً على أذونات المستخدم. راجع سجلات الوصول للوصول غير المصرح للمنشورات الهمسية وتدقيق أذونات المستخدم.