Puedo reproducirlo.
Una configuración introducida recientemente permite que scripts externos se ejecuten dinámicamente sin configuración manual.
No está disponible en 3.2.
Definitivamente no es una buena idea permitir el directorio “/uploads”.
Sin embargo, como solución alternativa, permitir solo las URL debería estar bien.
Si vas a la configuración del componente:
Puedes hacer clic derecho en cada enlace para copiar y pegarlos en la configuración content security policy script-src.
No sé si hay una mejor manera de manejar el problema de CSP aquí desde un componente temático. 