我们是一个严格的私密群组,群内讨论关于“赞助商”的利弊,而赞助商本身不被允许加入群组。我们使用单点登录(SSO)。其中两名用户进行私信交流时,其中一人上传了一个 eml(电子邮件)文件到私信中。该 eml 文件包含了三位赞助商的电子邮件地址。Discourse 检测到这些邮箱地址后,将赞助商添加为待处理用户,并且尽管他们仍处于待处理状态,系统仍向这些赞助商发送了后续私信中的帖子内容。这显然侵犯了我们的隐私。
公平地说,我确实将允许上传的文件类型设置为“*”,即允许所有文件上传。默认情况下,用户是无法上传 eml 文件的。但如果是 Word 文档呢?Discourse 是否会扫描其中的电子邮件地址并将其添加为用户?
复现步骤:
- 发起一条私信
- 找到一封来自你前任的旧邮件
- 将该 eml 文件上传到私信中
- 你的前任现在被添加为待处理用户
- 继续发送私信
- 你的前任会收到邮件
