Discourse Assign is a plugin for assigning users to a topic in Discourse, an open-source messaging platform. Prior to version 1.0.1, the UserBookmarkSerializer serialized the whole User / Group object, which leaked some private information. The data was only being serialized to people who could view assignment info, which is limited to staff by default. For the vast majority of sites, this data was only leaked to trusted staff member, but for sites with assign features enabled publicly, the data was accessible to more people than just staff. Version 1.0.1 contains a patch. There are currently no known workarounds.
Discourse Assign es un plugin para asignar usuarios a un tema en Discourse, una plataforma de mensajería de código abierto. En versiones anteriores a 1.0.1, el UserBookmarkSerializer serializaba todo el objeto User / Group, lo que filtraba determinada información privada. Los datos sólo eran serializados a personas que podían visualizar la información de la asignación, que está limitada al personal por defecto. Para la gran mayoría de los sitios, estos datos sólo son filtrados a miembros del personal confiables, pero para los sitios con características de asignación habilitadas públicamente, los datos fueron accesibles a más personas que sólo el personal. La versión 1.0.1 contiene un parche. Actualmente no se presentan medidas de mitigación conocidas
