Botones de comercio

lava · 21 Agosto, 2025 11:24

¡Gracias por este útil plugin! He encontrado algunas vulnerabilidades de seguridad críticas que requieren atención:

Problemas

Sin verificación de autorización - Cualquier usuario puede marcar cualquier tema como vendido/comprado/intercambiado
Falta de validación backend - Los controladores no verifican:
- Plugin habilitado (topic_trade_buttons_enabled)
- Botones de categoría habilitados (enable_*_button)
- Solo el frontend verifica esta configuración (inseguro)
Sin validación de entrada - El parámetro topic_id no se valida
Sin registro de acciones posteriores a la creación - Las operaciones no se registran, no hay registro de quién realizó las acciones

Manipulación no autorizada de temas
Omisión de la configuración del plugin/categoría mediante llamadas directas a la API
Sin rastro de auditoría de quién realizó las acciones de intercambio

Tema		Respuestas	Vistas
Discourse Category Lockdown Plugin pavilion	111	12853	15 Octubre 2025
Private Topics Plugin Plugin	92	4975	7 Septiembre 2025
Customize new topic button text Theme component official , topic-button-text	25	3412	25 Febrero 2025
Solved Button Plugin Feature rfc , spec	65	21237	18 Junio 2015
3.3.0.beta2: New admin sidebar, Redesigned bookmark menu, Chat from user profile, and more Announcements release-notes	1	1854	15 Mayo 2024