说明
作为 Hopscotch 论坛的常客,我可以访问大多数主题类别,但有些类别我无法创建主题,例如“公告”[因为我不是团队成员]。当引用一个先前已关闭主题中的帖子时,该引用会出现在一个新的主题草稿中,该草稿会自动设置为已关闭主题所在的类别。这两个事实结合起来,为用户提供了一个漏洞,他们可以通过简单地删除引用的帖子并将空草稿视为普通主题草稿,从而在他们通常无法创建主题的类别中创建主题。
演示
例如,这是 Discourse Meta Announcements 类别中的一个空主题草稿,与 Hopscotch 论坛版本一样,我通常无法访问该类别。
评论
虽然我个人从未见过这种情况被利用,但我相信它已经在别处发生过了,并且如果这种情况频繁发生,以至于小型论坛的领导团队不堪重负,这可能会成为一个问题。
如何重现
- 找到一个在禁止访问的类别中已关闭的主题
- 引用一个随机帖子
- 当引用出现在主题草稿中时,将其删除
- 将其视为一个典型的空主题草稿
