カテゴリ変更とタイトル編集の組み合わせでトピックタイトルの制限が回避される

バグ
1

優先度/重大度:

プラットフォーム

Windows 11

Google Chrome 114.0.5735.90 (公式ビルド) (64ビット)

説明:

トピックタイトルのいくつかの制限は、管理設定を通じて構成できます。これらには以下が含まれます。

  • min topic title length
  • title min entropy
  • max emojis in title
  • allow duplicate topic titles

ユーザーがトピックタイトルの編集時にカテゴリを変更すると、これらの制限への準拠チェックがバイパスされます。

再現手順:

  1. 新しいトピック」ボタンをクリックします。
  2. 投稿フィールドにテキストを追加します。
  3. トピックを作成」ボタンをクリックします。
    :slightly_smiling_face:タイトルが必要です」というエラーが表示されます。
  4. タイトルを入力するか、ここにリンクを貼り付けます」フィールドに、準拠したタイトルを追加します。
  5. トピックを作成」ボタンをクリックします。
    :slightly_smiling_face: トピックが作成されます。
  6. トピックタイトルの右側にある鉛筆アイコンをクリックします。
    トピック編集UIが開きます。
  7. タイトルを aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa に変更します。
  8. トピック編集UIの「」ボタンをクリックします。
    :slightly_smiling_face: ダイアログが表示されます。

    エラーが発生しました:タイトルが不明瞭なようです。ほとんどの単語が同じ文字を繰り返し含んでいますか?

  9. ダイアログの「OK」ボタンをクリックします。
  10. カテゴリドロップダウンメニューから別のカテゴリを選択します。
  11. トピック編集UIの「」ボタンをクリックします。
    :slightly_smiling_face: ダイアログが表示されます。

    エラーが発生しました:タイトルが不明瞭なようです。ほとんどの単語が同じ文字を繰り返し含んでいますか?

  12. ダイアログの「OK」ボタンをクリックします。
  13. ダイアログの「X」ボタンをクリックします。
  14. ページをリロードします。
    :bug: 反対の兆候にもかかわらず、編集は成功しました。トピックには現在、title min entropy 設定に違反するタイトルが付いています。
  15. トピックタイトルの右側にある鉛筆アイコンをクリックします。
    トピック編集UIが開きます。
  16. タイトルを 🙃🙃🙃🙃🙃🙃🙃🙃 このタイトルには絵文字が多い に変更します。
  17. トピック編集UIの「」ボタンをクリックします。
    :slightly_smiling_face: ダイアログが表示されます。

    エラーが発生しました:タイトルに1つ以上の絵文字を含めることはできません

  18. ダイアログの「OK」ボタンをクリックします。
  19. カテゴリドロップダウンメニューから別のカテゴリを選択します。
  20. トピック編集UIの「」ボタンをクリックします。
    :bug: 編集は成功しました。トピックには現在、max emojis in title 設定に違反する複数の絵文字を含むタイトルが付いています。
  21. トピックタイトルの右側にある鉛筆アイコンをクリックします。
    トピック編集UIが開きます。
  22. タイトルを、フォーラムの別のトピックですでに使用されているタイトルに変更します。
  23. トピック編集UIの「」ボタンをクリックします。
    :slightly_smiling_face: ダイアログが表示されます。

    エラーが発生しました:タイトルは既に使用されています

  24. ダイアログの「OK」ボタンをクリックします。
  25. カテゴリドロップダウンメニューから別のカテゴリを選択します。
  26. トピック編集UIの「」ボタンをクリックします。
    :bug: 編集は成功しました。トピックには現在、allow duplicate topic titles 設定に違反する重複したタイトルが付いています。
  27. トピックタイトルの右側にある鉛筆アイコンをクリックします。
    トピック編集UIが開きます。
  28. トピックタイトルフィールドのテキストを削除します。
  29. トピック編集UIの「」ボタンをクリックします。
    :slightly_smiling_face: ダイアログが表示されます。

    複数のエラーが発生しました:1) タイトルは空にできません 2) タイトルが短すぎます(最小は15文字です) 3) タイトルが不明瞭なようです。ほとんどの単語が同じ文字を繰り返し含んでいますか?

  30. ダイアログの「OK」ボタンをクリックします。
  31. カテゴリドロップダウンメニューから別のカテゴリを選択します。
  32. トピック編集UIの「」ボタンをクリックします。
    :bug: 編集は成功しました。トピックには現在、min topic title length 設定に違反するタイトルがありません。
    image
    image642×486 27.6 KB
  33. ページをリロードします。
    :bug: ページが読み込めません。

    このページは機能していません

    try.discourse.org はリダイレクトを繰り返しすぎました。
    クッキーをクリアしてみてください。
    ERR_TOO_MANY_REDIRECTS

追加コンテキスト

try.discourse.org の「セーフモード」で、この障害を再現できます。

「いいね!」 5
2

バグの「aaaaaaaaaaaaaaaaaaaaaaaa」の部分を再現しました。

3

再現したところ、topic_slug が無効なことが原因のようです。

4

それは私にとっては境界線のセキュリティのように感じます…ユーザーは許可されていないことをしています。

これをリストから外し、内部で優先順位を付けます。数週間以内に解決するはずです。

「いいね!」 3
7

サム、適切なレポート作成ワークフローを使用しなかった場合は申し訳ありません。

「いいね!」 1
8

全く問題ありません。これは際どい案件です。これがCVEに値するかどうかはまだ100%確定していませんが、念のため慎重に進めています。

「いいね!」 4
10

このトピックに記載されているすべての手順を再現できました。トピックバリデーターは正しいエラーを追加するために機能しているようですが、更新トランザクションが保存前に有効であることを確認していないようです。

これらの問題の中で最も懸念されるのは、空のトピックタイトル(最後のステップ)です。これは、ページがリロードし続ける(ここからトリガーされる無限ループ)ためです。それ以外は、タイトルリンクが存在しないため、/latest からトピックをクリックできないというユーザビリティの問題が主です。

「いいね!」 2
14

@per1234 レポートありがとうございます。この問題の修正はすでに適用されているはずです。

「いいね!」 3
15

このトピックは2日後に自動的に閉じられました。返信はもう許可されていません。