Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, the `move_posts` action only checked `can_move_posts?` on the source topic but never validated write permissions on the destination topic. This allowed TL4 users and category group moderators to move posts into topics in categories where they lack posting privileges (e.g., read-only categories or categories with group-restricted write access). Versions 2025.12.2, 2026.1.1, and 2026.2.0 patch the issue. No known workarounds are available.
Discourse versions prior to 2025.12.2, 2026.1.1, and 2026.2.0 contain an authorization bypass vulnerability in the move_posts action that fails to validate write permissions on destination topics. TL4 users and category moderators could move posts into restricted categories where they lack posting privileges.
تفشل ميزة نقل المنشورات في Discourse في التحقق من صلاحيات الكتابة على الموضوع المقصود، مما يسمح للمستخدمين ذوي الامتيازات المتوسطة بنقل المنشورات إلى فئات محمية. يؤثر هذا على سلامة التحكم في الوصول إلى الفئات المقيدة والفئات ذات الوصول المحدود للمجموعات.
إصدارات Discourse السابقة لـ 2025.12.2 و 2026.1.1 و 2026.2.0 تحتوي على ثغرة تجاوز التفويض في إجراء move_posts الذي لا يتحقق من صلاحيات الكتابة في المواضيع المقصودة. يمكن لمستخدمي TL4 والمشرفين نقل المنشورات إلى فئات مقيدة حيث يفتقرون إلى امتيازات النشر.
Update Discourse to version 2025.12.2, 2026.1.1, or 2026.2.0 or later. Review and audit recent post movements to identify any unauthorized transfers to restricted categories. Implement additional access control monitoring on category-level permissions.
قم بتحديث Discourse إلى الإصدار 2025.12.2 أو 2026.1.1 أو 2026.2.0 أو إصدار أحدث. راجع وتدقيق حركات المنشورات الأخيرة لتحديد أي عمليات نقل غير مصرح بها إلى فئات مقيدة. قم بتنفيذ مراقبة إضافية للتحكم في الوصول على صلاحيات مستوى الفئة.