Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, missing `validate_before_create` authorization in Data Explorer's `QueryGroupBookmarkable` allows any logged-in user to create bookmarks for query groups they don't have access to, enabling metadata disclosure via bookmark reminder notifications. Versions 2025.12.2, 2026.1.1, and 2026.2.0 fix this issue and also make sure `validate_before_create` throws NotImplementedError in BaseBookmarkable if not implemented, to prevent similar issues in the future. No known workarounds are available.
Discourse Data Explorer lacks authorization validation in QueryGroupBookmarkable, allowing logged-in users to create bookmarks for restricted query groups and access metadata through reminder notifications. This vulnerability affects versions prior to 2025.12.2, 2026.1.1, and 2026.2.0.
يسمح الضعف في Discourse للمستخدمين المسجلين بإنشاء علامات مرجعية لمجموعات الاستعلام التي لا يملكون صلاحيات الوصول إليها. يمكن استخدام إشعارات العلامات المرجعية للكشف عن البيانات الوصفية الحساسة. تم إصلاح المشكلة في الإصدارات الأخيرة من خلال فرض التحقق من الصلاحيات.
منصة Discourse تفتقد التحقق من الصلاحيات في QueryGroupBookmarkable، مما يسمح للمستخدمين المسجلين بإنشاء علامات مرجعية لمجموعات الاستعلام المقيدة والوصول إلى البيانات الوصفية. يؤثر هذا الضعف على الإصدارات السابقة للإصدارات 2025.12.2 و 2026.1.1 و 2026.2.0.
Upgrade Discourse to version 2025.12.2, 2026.1.1, or 2026.2.0 or later immediately. Implement proper authorization validation in the validate_before_create method for all bookmarkable resources. Review and audit existing bookmarks created by users to identify unauthorized access patterns.
قم بترقية Discourse إلى الإصدار 2025.12.2 أو 2026.1.1 أو 2026.2.0 أو أحدث على الفور. تطبيق التحقق الصحيح من الصلاحيات في طريقة validate_before_create لجميع الموارد القابلة للعلامات المرجعية. مراجعة وتدقيق العلامات المرجعية الموجودة التي أنشأها المستخدمون لتحديد أنماط الوصول غير المصرح به.