CVE-2026-32243Discourse是一个开源讨论平台。在特定版本中,拥有创建共享AI对话权限的攻击者可以通过构造恶意的对话标题来注入任意的HTML和JavaScript代码。当其他用户查看包含该对话的Onebox预览时,恶意代码将在其浏览器中执行。此漏洞可能导致攻击者劫持用户会话或代表受害者执行未经授权的操作。官方已在后续版本中修复了该问题。
该漏洞属于存储型跨站脚本攻击(Stored XSS)。其根本原因在于Discourse在处理“共享AI对话”功能时,未对用户提交的“对话标题”进行充分的输出编码。攻击流程如下:首先,攻击者利用低权限账户访问创建共享AI对话的接口,将包含恶意脚本的Payload(如`<script>`或`<img onerror>`标签)填入标题字段并提交。系统将数据存储后,当其他用户浏览包含该对话链接的帖子时,Discourse的Onebox功能会自动抓取并渲染预览内容。在此渲染过程中,系统未对标题中的特殊字符进行HTML实体转义,导致恶意脚本被直接写入受害者的页面DOM中并执行。由于CVSS向量包含S:C(Scope Changed),攻击者不仅能窃取当前会话Cookie,还能利用受害者的权限在浏览器端执行任意操作,如篡改数据或发起进一步攻击。