Boutons de trading

lava · Août 21, 2025, 11:24

Merci pour ce plugin utile ! J’ai trouvé des vulnérabilités de sécurité critiques qui nécessitent une attention particulière :

Problèmes

Aucune vérification d’autorisation - N’importe quel utilisateur peut marquer n’importe quel sujet comme vendu/acheté/échangé
Validation backend manquante - Les contrôleurs ne vérifient pas :
- Plugin activé (topic_trade_buttons_enabled)
- Boutons de catégorie activés (enable_*_button)
- Seul le frontend vérifie ces paramètres (dangereux)
Aucune validation d’entrée - Le paramètre topic_id n’est pas validé
Aucune action post-création - Les opérations ne sont pas enregistrées, aucun enregistrement de qui a effectué les actions

Manipulation non autorisée des sujets
Contournement des paramètres du plugin/de la catégorie via des appels API directs
Aucune piste d’audit de qui a effectué les actions de transaction

Sujet		Réponses	Vues
Discourse Category Lockdown Plugin pavilion	111	12853	Octobre 15, 2025
Private Topics Plugin Plugin	92	4975	Septembre 7, 2025
Customize new topic button text Theme component official , topic-button-text	25	3412	Février 25, 2025
Solved Button Plugin Feature rfc , spec	65	21237	Juin 18, 2015
3.3.0.beta2: New admin sidebar, Redesigned bookmark menu, Chat from user profile, and more Announcements release-notes	1	1854	Mai 15, 2024