CVE-2026-33355Discourse开源讨论平台在特定版本之前存在严重的信息泄露漏洞。由于`/private-posts`端点未正确应用帖子类型的可见性过滤机制,导致拥有私信访问权限的普通用户可以越权查看本该仅对管理员或特定角色可见的“耳语”帖子。该漏洞使得私密会话中的敏感管理信息面临泄露风险,建议管理员尽快升级至修复版本以消除安全隐患。
该漏洞源于Discourse后端在处理`/private-posts`端点请求时,未对帖子类型进行严格的可见性校验。在Discourse的私信机制中,存在一种特殊的帖子类型称为“Whisper”,通常仅用于管理员或特定角色之间的私密交流,普通私信参与者不应具备查看权限。然而,受影响版本的代码逻辑在序列化私信数据时,遗漏了对`post_type`字段的过滤检查。当攻击者作为一个普通PM参与者,向`/private-posts`发送请求获取特定主题的帖子列表时,服务器直接返回了数据库中的原始记录,未剔除Whisper类型的帖子。这使得攻击者无需进行复杂的攻击操作,仅利用正常的API访问流程,即可被动接收并查看到本应被隐藏的敏感管理信息或内部讨论内容。