Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, an improper authorization check in the topic management logic allows authenticated users to modify privileged attributes of their topics. By manipulating specific parameters in a PUT or POST request, a regular user can elevate a topic’s status to a site-wide notice or banner, bypassing intended administrative restrictions. Versions 2025.12.2, 2026.1.1, and 2026.2.0 patch the issue. There are no practical workarounds to prevent this behavior other than applying the security patch. Administrators concerned about unauthorized promotions should audit recent changes to site banners and global notices until the fix is deployed.
Discourse versions prior to 2025.12.2, 2026.1.1, and 2026.2.0 contain an improper authorization vulnerability allowing authenticated users to elevate topics to site-wide notices or banners without administrative permission. This privilege escalation bypasses intended access controls through parameter manipulation in topic management requests.
تحتوي منصة Discourse على ثغرة تفويض غير صحيح في منطق إدارة المواضيع تسمح للمستخدمين المصرح لهم بتعديل سمات مميزة. يمكن للمهاجمين التحايل على القيود الإدارية بمعالجة معاملات محددة في طلبات PUT أو POST لترقية حالة المواضيع.
Discourse منصة النقاش مصابة بثغرة تفويض غير صحيح تسمح للمستخدمين المصرح لهم بترقية المواضيع إلى إشعارات عامة دون صلاحيات إدارية. يمكن للمهاجمين التحايل على الضوابط الأمنية من خلال معالجة معاملات الطلب.
Update Discourse to version 2025.12.2, 2026.1.1, or 2026.2.0 or later immediately. Audit recent changes to site banners and global notices for unauthorized modifications. Implement strict role-based access controls and monitor topic status changes through administrative logs.
قم بتحديث Discourse إلى الإصدار 2025.12.2 أو 2026.1.1 أو 2026.2.0 أو أحدث فوراً. قم بمراجعة التغييرات الأخيرة على الإشعارات والملاحظات العامة. طبق ضوابط التحكم في الوصول القائمة على الأدوار وراقب تغييرات حالة المواضيع.