Обновите права на изменение коллекции Meteor.users

Особенно если вы используете поле из коллекции Meteor.users для того чтобы идентифицировать пользовательские права. Дело в том что из коробки у пользователя есть возможность изменять значение полей своего документа, и недоброжелатель может сам наделить себя правами.

Запрещайте перезапись полей коллекцииц Meteor.users:

import {Meteor} from 'meteor/meteor'

Meteor.startup(() => {
 Meteor.users.deny({
  update: () => true
 })
})

2 симпатии