¡Saludos, estimado equipo de Discourse y usuarios del foro! Recientemente instalé este plugin de plantillas en el editor y lo he estado probando activamente estos días.
Hoy descubrí que viola la privacidad de los temas ocultos proporcionados por el plugin Category Lockdown.
Si un usuario tiene acceso a una categoría pero no puede ver los temas de esa categoría, puede eludir fácilmente estas restricciones utilizando la función de insertar plantilla en el editor de publicaciones. Donde todos los temas ocultos se presentan como plantillas. El hecho es que en mi sitio, en ciertas categorías, cada tema es una plantilla a la que tiene acceso un grupo selecto de usuarios. Aunque estos temas de plantilla están ocultos para los usuarios generales, las categorías de estos temas no están ocultas, ya que estamos tratando de promocionar estas plantillas utilizando el plugin Category Lockdown.
Aquí está el informe en video.
Para este video, inicié sesión en el foro como un usuario normal, que no tiene acceso al tema oculto. Pero como puede ver, el usuario eludió fácilmente la restricción y vio el contenido del tema.