Botões de Trading

lava · Agosto 21, 2025, 11:24am

Obrigado por este plugin útil! Encontrei algumas vulnerabilidades de segurança críticas que precisam de atenção:

Problemas

Sem verificação de autorização - Qualquer usuário pode marcar qualquer tópico como vendido/comprado/trocado
Validação de backend ausente - Os controladores não verificam:
- Plugin ativado (topic_trade_buttons_enabled)
- Botões de categoria ativados (enable_*_button)
- Apenas o frontend verifica essas configurações (inseguro)
Sem validação de entrada - Parâmetro topic_id não validado
Nenhuma ação pós-criação - Operações não registradas, nenhum registro de quem realizou as ações

Manipulação não autorizada de tópicos
Contorno das configurações do plugin/categoria por meio de chamadas diretas à API
Nenhum rastro de auditoria de quem realizou as ações de negociação

Tópico		Respostas	Visualizações
Discourse Category Lockdown Plugin pavilion	111	12853	15 de Outubro de 2025
Private Topics Plugin Plugin	92	4975	7 de Setembro de 2025
Customize new topic button text Theme component official , topic-button-text	25	3412	25 de Fevereiro de 2025
Solved Button Plugin Feature rfc , spec	65	21237	18 de Junho de 2015
3.3.0.beta2: New admin sidebar, Redesigned bookmark menu, Chat from user profile, and more Announcements release-notes	1	1854	15 de Maio de 2024