Discourse is an open source discussion platform. Prior to versions 2025.12.2, 2026.1.1, and 2026.2.0, TL4 users can publish topics into staff-only categories via the `publish_to_category` topic timer, bypassing authorization checks. Versions 2025.12.2, 2026.1.1, and 2026.2.0 patch the issue. No known workarounds are available.
Discourse versions prior to 2025.12.2, 2026.1.1, and 2026.2.0 contain an authorization bypass vulnerability allowing TL4 users to publish topics into staff-only categories via the publish_to_category topic timer. This vulnerability bypasses intended access controls and could allow unauthorized content publication in restricted areas.
تسمح ثغرة تجاوز التفويض في Discourse لمستخدمي المستوى الرابع (TL4) بنشر المواضيع في الفئات المحجوزة للموظفين فقط من خلال استخدام مؤقت الموضوع publish_to_category. تتجاوز هذه الثغرة فحوصات التفويض المقصودة وتسمح بنشر محتوى غير مصرح به في المناطق المقيدة.
إصدارات Discourse السابقة للإصدارات 2025.12.2 و 2026.1.1 و 2026.2.0 تحتوي على ثغرة تجاوز التفويض تسمح لمستخدمي TL4 بنشر المواضيع في الفئات المخصصة للموظفين فقط. تتجاوز هذه الثغرة عناصر التحكم في الوصول المقصودة وقد تسمح بنشر محتوى غير مصرح به في المناطق المقيدة.
Update Discourse to version 2025.12.2, 2026.1.1, or 2026.2.0 or later immediately. Review and audit staff-only category permissions and any topics published by TL4 users in restricted categories since the vulnerability disclosure date.
قم بتحديث Discourse إلى الإصدار 2025.12.2 أو 2026.1.1 أو 2026.2.0 أو أحدث على الفور. راجع وتدقيق أذونات الفئات المخصصة للموظفين فقط وأي مواضيع نشرها مستخدمو TL4 في الفئات المقيدة منذ تاريخ الكشف عن الثغرة.