Trading Buttons

lava · 21. August 2025 um 11:24

Vielen Dank für dieses nützliche Plugin! Ich habe einige kritische Sicherheitslücken gefunden, die Aufmerksamkeit erfordern:

Probleme

Keine Autorisierungsprüfung – Jeder Benutzer kann jedes Thema als verkauft/gekauft/getauscht markieren
Fehlende Backend-Validierung – Controller überprüfen nicht:
- Plugin aktiviert (topic_trade_buttons_enabled)
- Schaltflächen für Kategorien aktiviert (enable_*_button)
- Nur das Frontend prüft diese Einstellungen (unsicher)
Keine Eingabevalidierung – Der Parameter topic_id wird nicht validiert
Keine Aktion nach Erstellung – Operationen werden nicht protokolliert, keine Aufzeichnung darüber, wer Aktionen ausgeführt hat

Thema		Antworten	Aufrufe
Discourse Category Lockdown Plugin pavilion	111	12853	15. Oktober 2025
Private Topics Plugin Plugin	92	4975	7. September 2025
Customize new topic button text Theme component official , topic-button-text	25	3412	25. Februar 2025
Solved Button Plugin Feature rfc , spec	65	21237	18. Juni 2015
3.3.0.beta2: New admin sidebar, Redesigned bookmark menu, Chat from user profile, and more Announcements release-notes	1	1854	15. Mai 2024