Bottoni per il Trading

Plugin
121

:warning: vulnerabilità di sicurezza :warning:

Ciao @Janno_Liivak,

Grazie per questo utile plugin! Ho trovato alcune vulnerabilità di sicurezza critiche che necessitano di attenzione:

Problemi

  1. Nessun controllo di autorizzazione - Qualsiasi utente può contrassegnare qualsiasi argomento come venduto/acquistato/scambiato
  2. Mancanza di validazione backend - I controller non verificano:
    • Plugin abilitato (topic_trade_buttons_enabled)
    • Pulsanti di categoria abilitati (enable_*_button)
    • Solo il frontend controlla queste impostazioni (non sicuro)
  3. Nessuna validazione dell’input - Parametro topic_id non validato
  4. Nessuna azione post creata - Operazioni non registrate, nessun record di chi ha eseguito le azioni

Impatto

  • Manipolazione non autorizzata degli argomenti
  • Bypass delle impostazioni del plugin/categoria tramite chiamate API dirette
  • Nessuna traccia di controllo di chi ha eseguito le azioni di scambio
4 Mi Piace