製品・ソフトウェアに関する情報

JVN脆弱性詳細

Discourseにおける複数の脆弱性

Title	Discourseにおける複数の脆弱性
Summary	Discourseはオープンソースのディスカッションプラットフォームです。バージョン2026.1.0-latestから2026.1.4未満、2026.3.0-latestから2026.3.1未満、および2026.4.0-latestから2026.4.1未満の間に、チャットプラグイン（そのうちの1つはdiscourse-calendarも関与）に4つの認可および情報漏洩の問題が存在しました。読み取り専用カテゴリのユーザーがチャットスレッドを作成できていたこと、自分で削除したチャットメッセージがチャンネルアクセスが取り消された後でも作者によって復元可能であったこと、フラグが付けられたチャットメッセージをレビューするモデレーターに対してチャンネルの現在のlast_message（しばしば無関係なDMの内容）が表示されていたこと、そしてカレンダーのイベントペイロードがチャットアクセス権のない閲覧者（匿名ユーザーを含む）にチャットチャンネルおよびその最後のメッセージを露出させていたことが問題でした。これらの問題はチャットプラグインが有効になっているサイトに影響し、カレンダーの問題はさらにdiscourse-calendarも必要としています。この問題はバージョン2026.1.4、2026.3.1、2026.4.1、および2026.5.0-latest.1で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 12, 2026, midnight
Registration Date	June 22, 2026, 11:36 a.m.
Last Update	June 22, 2026, 11:36 a.m.

CVSS3.0 : 警告
Score	5.3
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Affected System

Discourse

Discourse 2026.1.0 以上 2026.1.4 未満

Discourse 2026.1.0 未満

Discourse 2026.3.0 以上 2026.3.1 未満

Discourse 2026.4.0 以上 2026.4.1 未満

Discourse 2026.5.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45085	https://www.cve.org/CVERecord?id=CVE-2026-45085
National Vulnerability Database (NVD)
2	CVE-2026-45085	https://nvd.nist.gov/vuln/detail/CVE-2026-45085

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
2	CWE-862	https://cwe.mitre.org/data/definitions/862.html

ベンダー情報

No	Name	URL
GitHub
1	Chat misauthorization and information disclosure Advisory discourse/discourse GitHub	https://github.com/discourse/discourse/security/advisories/GHSA-rw8j-p2gv-q33w

Change Log

No	Changed Details	Date of change
1	[2026年06月22日] 掲載	June 22, 2026, 11:36 a.m.

NVD Vulnerability Information

CVE-2026-45085

Summary	Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, four authorization/disclosure issues in the chat plugin (one also involving discourse-calendar): read-only category users could create chat threads, self-deleted chat messages could be restored by their author after channel access was revoked, moderators reviewing a flagged chat message were shown the channel's current last_message (often unrelated DM content), and calendar event payloads exposed the attached chat channel and its last message to viewers without chat access (including anonymous users). This affects sites with the chat plugin enabled; the calendar issue additionally requires discourse-calendar. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.
Publication Date	June 13, 2026, 6:16 a.m.
Registration Date	June 14, 2026, 4:11 a.m.
Last Update	June 16, 2026, 5:58 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/discourse/discourse/security/advisories/GHSA-rw8j-p2gv-q33w	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html
2	CWE-862	認証の欠如	https://cwe.mitre.org/data/definitions/862.html