Caricare un file .eml crea utenti indesiderati e invia loro i PM di altri

Siamo un gruppo strettamente privato e discutiamo dei vantaggi degli “sponsor”, che non sono ammessi nel gruppo. Utilizziamo l’SSO. Due dei nostri utenti si sono scambiati un messaggio privato e uno ha caricato un file eml (email) nel PM. Il file eml conteneva gli indirizzi email di tre sponsor. Discourse ha rilevato gli indirizzi email, ha aggiunto gli sponsor come utenti in staging e, anche se erano ancora in staging, ha inviato loro via email i post successivi nel PM. Ovviamente questo ha violato la nostra privacy.

Per essere equi, avevo aperto i tipi di file caricabili consentiti a “*”, ovvero ho permesso tutti i caricamenti. Di default, non avrebbero potuto caricare un file eml. Ma che dire di un documento Word? Discourse lo scannerizzerà per cercare indirizzi email e li aggiungerà come utenti?

Per riprodurre il problema:

1. Avvia un PM
2. Trova una vecchia email del tuo ex
3. Carica il file eml nel PM
4. Il tuo ex diventa ora un utente in staging
5. Continua il PM
6. Il tuo ex riceve email

Sei sicuro che il file .eml sia stato caricato o qualcuno ha inoltrato una email al PM?

Non esiste alcuna gestione speciale per i file caricati che possa creare utenti in staging, ma le email in arrivo possono creare utenti in staging a seconda delle impostazioni del tuo sito. Potresti voler dare un’occhiata a impostazioni come forwarded_emails_behaviour e enable_staged_users.

Era una email in arrivo:

La email in arrivo appare come un allegato eml(?) che ha creato gli utenti in staging:

image948×518 28.8 KB

Le mie impostazioni. Quindi deselezionerò “abilita utenti in staging”. Sono sicuro che esista un caso d’uso valido per quell’opzione.

image510×131 4.54 KB