CVE-2026-30891Discourse是一款广泛使用的开源论坛平台。该漏洞源于用户操作端点授权验证不足,允许经过认证的低权限用户绕过安全限制,直接访问其他用户的私密活动记录。攻击者无需诱导用户交互,仅凭网络访问即可利用此漏洞获取敏感数据。此问题严重危害了用户隐私,导致高机密性影响。受影响版本应尽快更新至官方修复版本以消除风险,防止数据泄露事件发生。
该漏洞本质上属于不安全的直接对象引用(IDOR)或访问控制失效。在受影响的Discourse版本中,处理用户活动请求的API端点存在逻辑缺陷。当服务器接收到查看特定用户活动的请求时,仅验证了请求者是否为登录用户,而未进一步验证请求者是否有权限查看目标用户的特定数据。具体而言,攻击者可以通过构造特定的HTTP请求,将目标用户ID嵌入到URL参数或请求体中,发送至用户活动查询接口。由于后端缺少对资源所有权或访问权限的严格校验,服务器会直接返回目标用户的私有操作日志。这种漏洞利用了业务逻辑层面的信任关系缺失,使得普通用户能够横向越权获取管理员或其他敏感用户的隐私信息。