我在所有 Discourse 安装(包括 try.discourse.org)的服务条款页面上发现了一个可能令人担忧的问题。
服务条款部分 7. 发布在其他网站上的内容 包含指向 non-currentdomain.tld 的链接。这些链接是可点击的,因为它们与其他帖子一样被解析。
在某些情况下,这允许域名抢注未注册的 non-currentdomain.tld。一个很好的例子是 https://forum.openwrt.org/tos#5。
作为证据,我已经注册了 non-openwrt.org。
您可以在此处查看我“详细”的介绍:ComputeCode - Non-OpenWrt
我认为这个 bug 不值得安全赏金。但如果您希望将其作为安全赏金提交,请告知我。