製品・ソフトウェアに関する情報

JVN脆弱性詳細

Discourseにおける複数の脆弱性

タイトル	Discourseにおける複数の脆弱性
概要	Discourseはオープンソースのディスカッションプラットフォームです。バージョン2026.1.0-latestから2026.1.4未満、2026.3.0-latestから2026.3.1未満、および2026.4.0-latestから2026.4.1未満の間に、チャットプラグイン（そのうちの1つはdiscourse-calendarも関与）に4つの認可および情報漏洩の問題が存在しました。読み取り専用カテゴリのユーザーがチャットスレッドを作成できていたこと、自分で削除したチャットメッセージがチャンネルアクセスが取り消された後でも作者によって復元可能であったこと、フラグが付けられたチャットメッセージをレビューするモデレーターに対してチャンネルの現在のlast_message（しばしば無関係なDMの内容）が表示されていたこと、そしてカレンダーのイベントペイロードがチャットアクセス権のない閲覧者（匿名ユーザーを含む）にチャットチャンネルおよびその最後のメッセージを露出させていたことが問題でした。これらの問題はチャットプラグインが有効になっているサイトに影響し、カレンダーの問題はさらにdiscourse-calendarも必要としています。この問題はバージョン2026.1.4、2026.3.1、2026.4.1、および2026.5.0-latest.1で修正されています。
想定される影響	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月12日0:00
登録日	2026年6月22日11:36
最終更新日	2026年6月22日11:36

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

影響を受けるシステム

Discourse

Discourse 2026.1.0 以上 2026.1.4 未満

Discourse 2026.1.0 未満

Discourse 2026.3.0 以上 2026.3.1 未満

Discourse 2026.4.0 以上 2026.4.1 未満

Discourse 2026.5.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45085	https://www.cve.org/CVERecord?id=CVE-2026-45085
National Vulnerability Database (NVD)
2	CVE-2026-45085	https://nvd.nist.gov/vuln/detail/CVE-2026-45085

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
2	CWE-862	https://cwe.mitre.org/data/definitions/862.html

ベンダー情報

No	名前	URL
GitHub
1	Chat misauthorization and information disclosure Advisory discourse/discourse GitHub	https://github.com/discourse/discourse/security/advisories/GHSA-rw8j-p2gv-q33w

変更履歴

No	変更内容	変更日
1	[2026年06月22日] 掲載	2026年6月22日11:36

NVD脆弱性情報

CVE-2026-45085

概要	Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, four authorization/disclosure issues in the chat plugin (one also involving discourse-calendar): read-only category users could create chat threads, self-deleted chat messages could be restored by their author after channel access was revoked, moderators reviewing a flagged chat message were shown the channel's current last_message (often unrelated DM content), and calendar event payloads exposed the attached chat channel and its last message to viewers without chat access (including anonymous users). This affects sites with the chat plugin enabled; the calendar issue additionally requires discourse-calendar. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.
公表日	2026年6月13日6:16
登録日	2026年6月14日4:11
最終更新日	2026年6月16日5:58

No	CWE	名前	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html
2	CWE-862	認証の欠如	https://cwe.mitre.org/data/definitions/862.html