Discourse is an open source discussion platform. Versions prior to 2025.12.2, 2026.1.1, and 2026.2.0 have an IDOR (Insecure Direct Object Reference) in `ReviewableNotesController`. When `enable_category_group_moderation` is enabled, a user belonging to a category moderation group can create or delete their own notes on **any** reviewable in the system, including reviewables in categories they do not moderate. The controller used an unscoped `Reviewable.find` and the `ensure_can_see` guard only checked whether the user could access the review queue in general, not whether they could access the specific reviewable. Only instances with `enable_category_group_moderation` enabled are affected. Staff users (admins/moderators) are not impacted as they already have access to all reviewables. The issue is patched in versions 2025.12.2, 2026.1.1, and 2026.2.0 by scoping the reviewable lookup through `Reviewable.viewable_by(current_user)`. As a workaround, disable the `enable_category_group_moderation` site setting. This removes the attack surface as only staff users will have access to the review queue.
Discourse versions prior to 2025.12.2, 2026.1.1, and 2026.2.0 contain an IDOR vulnerability in ReviewableNotesController allowing category moderation group users to create or delete notes on any reviewable system-wide when enable_category_group_moderation is enabled. The vulnerability stems from unscoped Reviewable.find calls and insufficient access control checks that only verify general review queue access rather than specific reviewable permissions.
تحتوي نسخ Discourse السابقة للإصدار 2025.12.2 و2026.1.1 و2026.2.0 على ثغرة IDOR في وحدة التحكم ReviewableNotesController تسمح لمستخدمي مجموعة الإشراف على الفئات بإنشاء أو حذف الملاحظات على أي عنصر قابل للمراجعة في النظام عند تفعيل enable_category_group_moderation. تنشأ الثغرة من استدعاءات Reviewable.find غير المحدودة والفحوصات الأمنية غير الكافية التي تتحقق فقط من الوصول العام إلى قائمة المراجعة وليس الأذونات المحددة.
A vulnerability in Discourse allows users with category moderation group membership to manipulate notes on any reviewable item in the system when category group moderation is enabled. This IDOR flaw bypasses intended access restrictions by failing to properly scope database queries and validate specific resource permissions.
Upgrade Discourse to version 2025.12.2, 2026.1.1, or 2026.2.0 or later immediately. If immediate upgrade is not possible, disable enable_category_group_moderation setting until patched. Review audit logs for unauthorized note creation/deletion on reviewables. Implement additional access control validation at the application layer to verify user permissions for specific reviewable resources.
قم بترقية Discourse إلى الإصدار 2025.12.2 أو 2026.1.1 أو 2026.2.0 أو أحدث فوراً. إذا لم يكن الترقية الفورية ممكنة، قم بتعطيل إعداد enable_category_group_moderation حتى يتم إصلاح الثغرة. راجع سجلات التدقيق للتحقق من إنشاء أو حذف الملاحظات غير المصرح به على العناصر القابلة للمراجعة. قم بتطبيق التحقق الإضافي من التحكم في الوصول على مستوى التطبيق للتحقق من أذونات المستخدم للموارد المحددة.