الثغرات ›

CVE-2026-27162

متوسط

CWE-200 — نوع الضعف

                    نُشر: Feb 26, 2026                      ·  آخر تحديث: Mar 5, 2026                      ·  المصدر: NVD                

CVSS v3

4.9

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, `posts_nearby` was checking topic access but then returning all posts regardless of type, including whispers that should only be visible to whisperers. Use `Post.secured(guardian)` to properly filter post types based on user permissions. Versions 2025.12.2, 2026.1.1, and 2026.2.0 patch the issue. No known workarounds are available.

🤖 ملخص AI

Discourse discussion platform versions prior to 2025.12.2, 2026.1.1, and 2026.2.0 contain an information disclosure vulnerability where the posts_nearby function returns whispered posts to unauthorized users. The vulnerability allows users to view private whispered messages that should only be visible to designated whisperers, bypassing proper permission checks.

📄 الوصف (العربية)

تحتوي منصة Discourse على ثغرة كشف معلومات في وظيفة posts_nearby التي تفشل في التحقق من نوع المنشور بشكل صحيح. تسمح الثغرة بإرجاع جميع المنشورات بما فيها الرسائل الهمسية الخاصة للمستخدمين غير المصرح لهم برؤيتها. يتم إصلاح المشكلة باستخدام Post.secured(guardian) للتصفية الصحيحة بناءً على أذونات المستخدم.

🤖 ملخص تنفيذي (AI)

منصة Discourse للنقاش تحتوي على ثغرة كشف معلومات في الإصدارات السابقة للإصدارات 2025.12.2 و 2026.1.1 و 2026.2.0 حيث تعيد وظيفة posts_nearby الرسائل الهمسية للمستخدمين غير المصرح لهم. تسمح الثغرة للمستخدمين برؤية الرسائل الخاصة التي يجب أن تكون مرئية فقط للمخاطبين المعينين.

🤖 التحليل الذكي آخر تحليل: May 30, 2026 07:07

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom

🎯 تقنيات MITRE ATT&CK

T1040 T1041

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Discourse to version 2025.12.2, 2026.1.1, or 2026.2.0 or later immediately. Ensure Post.secured(guardian) is properly implemented in posts_nearby function to filter posts based on user permissions. Review access logs for unauthorized whisper post access and audit user permissions.

🔧 خطوات المعالجة (العربية)

قم بترقية Discourse إلى الإصدار 2025.12.2 أو 2026.1.1 أو 2026.2.0 أو أحدث فوراً. تأكد من تطبيق Post.secured(guardian) بشكل صحيح في وظيفة posts_nearby لتصفية المنشورات بناءً على أذونات المستخدم. راجع سجلات الوصول للوصول غير المصرح للمنشورات الهمسية وتدقيق أذونات المستخدم.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

7.1.2 7.2.1

🔵 SAMA CSF

AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.4.3

🔗 المراجع والمصادر 1

🔗

https://github.com/discourse/discourse/security/advisories/GHSA-gffm-43j4-372w

security-advisories@github.com

Vendor Advisory

📦 المنتجات المتأثرة 3 منتج

discourse:discourse

discourse:discourse:2026.2.0

📊 CVSS Score

4.9

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score4.9

CWECWE-200

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-02-26

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-200

🏢 توجيهات البائع

🔗 https://github.com/discourse/discourse/security/advi...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-27162

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب