Saudações, prezada equipe do Discourse e usuários do fórum! Instalei recentemente este plugin de modelos no composer e estou testando-o ativamente nos últimos dias.
Hoje descobri que ele viola a privacidade de tópicos ocultos fornecida pelo plugin Category Lockdown.
Se um usuário tem acesso a uma categoria, mas não pode visualizar tópicos nessa categoria, ele pode facilmente contornar essas restrições usando o recurso de inserir modelo no editor de posts. Onde todos os tópicos ocultos são apresentados como modelos. O fato é que, no meu site, em certas categorias, cada tema é um modelo ao qual um grupo seleto de usuários tem acesso. Embora esses temas modelo estejam ocultos para usuários em geral, as categorias desses temas não estão ocultas, pois estamos tentando promover esses modelos usando o plugin Category Lockdown.
Aqui está o relatório em vídeo.
Para este vídeo, fiz login no fórum como um usuário regular, que não tem acesso ao tópico oculto. Mas, como você pode ver, o usuário contornou facilmente a restrição e viu o conteúdo do tópico.