JVNDB-2026-005788 | |
Discourseにおける複数の脆弱性 | |
| 概要 | |
Discourseはオープンソースのディスカッションプラットフォームです。バージョン2025.12.2、2026.1.1、および2026.2.0以前には、directory itemsエンドポイントにIDORの脆弱性が存在し、匿名ユーザーを含む任意のユーザーがディレクトリ内のすべてのユーザーのプライベートユーザーフィールド値を取得できてしまいます。`DirectoryItemsController#index`の`user_field_ids`パラメータは認可チェックなしで任意のユーザーフィールドIDを受け入れ、他の場所(例:`UserCardSerializer`の`Guardian#allowed_user_field_ids`を介した)で適用される表示制限(`show_on_profile` / `show_on_user_card`)を回避します。攻撃者は`GET /directory_items.json?period=all&user_field_ids=id`を任意のプライベートフィールドIDでリクエストし、ディレクトリレスポンスの全ユーザー分のそのフィールド値を受け取れます。これにより、電話番号や住所、管理者が非公開として明示的に設定したその他の機微なカスタムフィールドなどのプライベートユーザーデータが一括で流出します。この問題は、非スタッフユーザーに対してカスタムフィールドマップを構築する前に`user_field_ids`を`UserField.public_fields`でフィルタリングすることで、バージョン2025.12.2、2026.1.1、および2026.2.0で修正されました。回避策として、サイト管理者はプライベートユーザーフィールドから機微なデータを削除するか、サイト設定の`enable_user_directory`を無効化することができます。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [その他]
| |
| 影響を受けるシステム | |
|
| |
Discourse | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/02/26 |
| 登録日 | 2026/03/04 |
| 最終更新日 | 2026/03/04 |
