Acabei de me deparar com isso em outra comunidade. Nesse caso, apenas as categorias Espanhol e Francês deveriam estar visíveis. Se você pressionar ‘Privado’, você receberá um ‘Esta página não existe ou é privada’.
Tentei reproduzir isso no Meta e, após colar a URL de algumas categorias no compositor, descobri que Support tem uma categoria de teste de bot à qual não consigo acessar, mas consigo vê-la.
Eu testei aqui e em outra comunidade e descobri que, embora as subcategorias sejam exibidas, quaisquer categorias de nível superior privadas não apresentam esse problema.
Por exemplo, se eu vincular tanto a categoria Suporte (uma categoria pública) quanto a categoria Discourse Experts (uma categoria privada), nenhum embed na categoria Experts aparecerá (o que pode ser intencional, mas achei interessante). Portanto, se eu tivesse acesso a uma categoria de nível superior privada, mas não a todas as subcategorias, eu não conseguiria ver as subcategorias ao vincular a categoria de nível superior no composer.
Dando um “up” neste tópico, pois ainda consigo reproduzir aqui no meta com https://meta.discourse.org/c/support/6
Isso é uma pequena falha de segurança?
Por exemplo, se você tivesse uma categoria pai de suporte para seus clientes (cada um com sua própria subcategoria privada que os outros clientes não poderiam ver), eles poderiam dar uma espiada em quem são seus outros clientes usando este truque.
Talvez também um problema de UX pela falta de espaçamento:
Foi o que pensei originalmente, mas como não tinha sido resolvido, presumi que não era realmente grave.
Eu consigo reproduzir isso. Obrigado pelo relatório, Ondrej 
