Parece que o que estão falando é sobre nossa funcionalidade de oneboxing.
Não é uma vulnerabilidade; é um comportamento intencional. Se uma URL for publicada em um fórum Discourse, uma solicitação de saída é feita para tentar recuperar metadados e construir um onebox.
Esse tipo de relatório parece fazer parte de uma varredura de baixo esforço de sites em busca de “vulnerabilidades” genéricas, já que não estão familiarizados com o funcionamento do software que estão testando.
Se eles tiverem alguma descoberta, incentivamos que a submetam por meio do nosso programa de recompensa por bugs HackerOne.
Se você tiver mais preocupações, ficaremos felizes em abordá-las.
Não tenho nenhum registro de mensagens deste endereço de e-mail, mas vamos investigar para ver por que não o recebemos.