Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, a user full name can be evaluated as raw HTML when the following settings are set: `display_name_on_posts` => true; and `prioritize_username_in_ux` => false. Editing a post of a malicious user would trigger an XSS. Versions 2025.12.2, 2026.1.1, and 2026.2.0 patch the issue. No known workarounds are available.
Discourse versions prior to 2025.12.2, 2026.1.1, and 2026.2.0 contain a stored XSS vulnerability in user full names when specific display settings are enabled. An attacker can inject malicious HTML/JavaScript that executes when other users edit posts, potentially compromising user sessions and data.
ثغرة XSS مخزنة في منصة Discourse تسمح بتنفيذ كود JavaScript عشوائي عند تحرير المنشورات. تحدث الثغرة عندما يتم تفعيل إعدادات عرض اسم المستخدم الكامل بشكل متزامن مع تعطيل أولوية اسم المستخدم في واجهة المستخدم.
إصدارات Discourse السابقة للإصدارات 2025.12.2 و 2026.1.1 و 2026.2.0 تحتوي على ثغرة XSS مخزنة في أسماء المستخدمين الكاملة عند تفعيل إعدادات عرض معينة. يمكن للمهاجم حقن HTML/JavaScript ضار ينفذ عند قيام مستخدمين آخرين بتحرير المنشورات.
Upgrade Discourse to version 2025.12.2, 2026.1.1, or 2026.2.0 or later immediately. If immediate upgrade is not possible, disable the vulnerable configuration by setting display_name_on_posts to false or prioritize_username_in_ux to true until patching is completed.
قم بترقية Discourse إلى الإصدار 2025.12.2 أو 2026.1.1 أو 2026.2.0 أو أحدث فوراً. إذا لم يكن الترقية الفورية ممكنة، قم بتعطيل الإعدادات الضعيفة بتعيين display_name_on_posts إلى false أو prioritize_username_in_ux إلى true حتى يتم تطبيق التصحيح.