CVE-2026-33411Discourse是一个开源讨论平台。在2026.3.0-latest.1、2026.2.1和2026.1.2之前的版本中,存在一个潜在的安全漏洞。该漏洞位于“已解决帖子流”的主题标题中,允许攻击者实施存储型跨站脚本攻击(Stored XSS)。由于漏洞CVSS评分为5.4(中危),且无需用户交互即可触发,低权限攻击者可利用此漏洞窃取敏感数据或篡改页面内容。官方已在特定版本中发布了修复补丁,建议用户尽快更新。
该漏洞的根本原因在于Discourse应用程序在渲染“已解决帖子流”模块时,未对主题标题字段进行严格的输出编码。攻击者利用这一缺陷,可以将精心构造的恶意脚本持久化存储在服务器端。具体利用场景如下:攻击者首先注册一个普通用户账号,随后在发布新主题或编辑现有主题时,将恶意载荷嵌入标题字段。由于系统未正确清洗数据,该载荷被保存至数据库。当管理员或其他具有高权限的用户访问包含该主题的“已解决帖子流”页面时,服务器会直接读取并渲染未经过滤的标题,导致恶意脚本在受害者的浏览器中自动执行。此时攻击者可利用JavaScript的强大功能窃取Cookie、进行钓鱼攻击或执行提权操作,进而完全控制受害者的账户。