CVE-2026-33426Discourse是一个开源讨论平台。在2026.3.0-latest.1、2026.2.1和2026.1.2之前的版本中存在一个安全漏洞。拥有标签编辑权限的用户,即使在受限标签组中无法看到某些隐藏标签,仍然可以编辑这些标签并为其创建同义词。这违反了访问控制原则,可能导致敏感标签信息被意外修改或泄露。官方已在上述版本中发布了补丁修复此问题,目前没有已知的临时缓解措施。
该漏洞的根源在于Discourse对标签编辑权限与标签可见性权限的校验逻辑存在缺陷。通常情况下,受限标签组中的标签仅对特定用户可见,而标签编辑权限往往赋予更广泛的用户群体(如版主)。在受影响版本中,系统在处理标签同义词的创建或编辑请求时,仅检查了用户是否具备“编辑标签”的通用权限,而未进一步验证用户是否有权访问目标标签所属的标签组。攻击者(具备标签编辑权限但无受限组查看权限的用户)可以通过构造特定的API请求,直接向受限标签组中的隐藏标签添加同义词或修改其属性。利用此漏洞,攻击者可以推断隐藏标签的存在,并可能通过操纵同义词影响系统的分类逻辑或造成信息混乱。尽管CVSS评分较低,但这表明了权限隔离机制的失效。