根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文Markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: Missing post-level authorization allows whisper metadata disclosure (缺少帖子级别的授权允许泄露 whisper 元数据)。 严重程度 (Severity): Moderate (中等)。 CVE ID: CVE-2026-32620。 描述 (Description): 非工作人员用户(Non-staff users)可以访问仅对工作人员(staff-only)可见的帖子的接收信息(read receipt information)。虽然帖子内容本身没有暴露,但关于谁阅读了帖子以及何时阅读的元数据被暴露了。 2. 影响范围 (Impact/Affected Versions): 软件 (Software): Discourse。 受影响版本 (Affected versions): >= 0 >= 2026.2.0-latest >= 2026.1.0-latest 已修复版本 (Patched versions): 2026.3.0 2026.2.2 2026.1.3 3. 修复方案 (Workarounds/Mitigation): Workarounds: Upgrade to patched version (升级到已修复的版本)。 4. POC/Exploit Code: 仔细检查截图,没有发现任何代码块、POC代码或利用代码。只有文本描述。 5. 格式化输出: 使用Markdown标题和列表。 确保语言为中文。 忽略导航栏、页脚等无关信息。 草稿构建: 标题: 漏洞:Missing post-level authorization allows whisper metadata disclosure 概述: 这是一个中等严重程度的漏洞。非工作人员用户可以获取仅对工作人员可见的帖子的阅读回执信息(谁读了、什么时候读的),尽管帖子内容本身是隐藏的。 影响: Discourse 软件。受影响版本包括 >= 0, >= 2026.2.0-latest, >= 2026.1.0-latest。 修复: 升级到 2026.3.0, 2026.2.2, 或 2026.1.3。 代码: 无。 最终润色: 将上述草稿转化为最终的Markdown格式。 漏洞总结 漏洞标题: Missing post-level authorization allows whisper metadata disclosure (缺少帖子级别的授权允许泄露 whisper 元数据) 漏洞概述: 严重程度: Moderate (中等) CVE ID: CVE-2026-32620 描述: 非工作人员用户(Non-staff users)可以访问仅对工作人员(staff-only)可见的帖子的接收信息(read receipt information)。虽然帖子内容本身没有暴露,但关于谁阅读了帖子以及何时阅读的元数据被暴露了。 影响范围: 软件: Discourse 受影响版本: >= 0 >= 2026.2.0-latest >= 2026.1.0-latest 已修复版本: 2026.3.0 2026.2.2 2026.1.3 修复方案: 升级到已修复的版本 (Upgrade to patched version)。 POC/利用代码: 页面中未包含相关代码。