Как постоянный участник форума Hopscotch, я имею доступ к большинству категорий тем, но есть некоторые, в которых я не могу создавать темы, например, «Объявления» [так как я не являюсь частью команды]. При цитировании сообщения из ранее закрытой темы цитата появляется в черновике новой темы, который автоматически устанавливается в категорию, к которой принадлежала закрытая тема. Эти два факта создают лазейку, позволяющую пользователям создавать темы в категориях, где они обычно не могут этого сделать, просто удаляя цитируемое сообщение и рассматривая пустой черновик как обычный черновик темы.
Демонстрация
Например, вот пустой черновик темы в категории Discourse Meta #announcements, которая, как и версия форума Hopscotch, обычно для меня недоступна.
Хотя лично я никогда не сталкивался с использованием этой уязвимости, я считаю, что где-то это уже было сделано, и это может стать проблемой, если это будет происходить достаточно часто, чтобы перегрузить руководящую команду небольшого форума.
Как воспроизвести
Найдите закрытую тему в категории, доступ к которой вам закрыт.
Цитируйте случайное сообщение.
Когда цитата появится в черновике темы, удалите её.
Относитесь к нему как к обычному пустому черновику темы.
Я только что быстро протестировал это на своём тестовом сайте. Хотя категория автоматически подставляется в редакторе, при создании темы появляется всплывающее окно с уведомлением о правах доступа:
Я тоже хотел сообщить об этой проблеме сегодня. Очень сбивает с толку, что по умолчанию выбирается категория, в которой пользователю запрещено публиковать сообщения. Сообщение об ошибке не объясняет, почему возникла проблема. Поэтому, чтобы понять, почему создание темы не удалось, нужно знать о категориях и их правах доступа.
Более удобным для пользователя было бы, если бы сообщение об ошибке предлагало выбрать другую категорию или если бы поле выбора категории не заполнялось автоматически, когда пользователю не разрешено публиковать там.
