Anomalie #21934
fermé[Sécurité] Vulnérabilité de contrôle d'accès sur document prévisualisés
Description
Une vulnérabilité de contrôle d'accès permet à toute personne ayant accès aux URLs ({url}/tmp/{MD5 hash du document}) de récupérer les documents de certains
types (pdf, email, etc, selon la configuration de la fonction de prévisualisation) présents dans les archives, de manière non authentifiée.
Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans
- Sujet changé de [Sécurité] Contrôle d'accès insuffisant sur document prévisualisés à [Sécurité] Vulnérabilité de contrôle d'accès sur document prévisualisés
Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans
- Assigné à changé de Cyril VAZQUEZ à Jérôme BOUCHER
Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans
- Tags RM 2.8.X, 2.9.X ajouté
- Tags RM
2.9supprimé
Mis à jour par Jérôme BOUCHER il y a plus de 2 ans
- Statut changé de En cours à R&D - En cours
Mis à jour par Jérôme BOUCHER il y a plus de 2 ans
- Statut changé de R&D - En cours à R&D - En test
Modification du code pour générer la balise HTML object dans la vue au lieu du presenter. La vue reçoit un json contenant le mimetype et le fichier encodé en base64 au lieu d'un chemin vers /tmp
Le fichier pdf crée dans le presenter pendant la preview est maintenant supprimé une fois cette preview crée, il n'est donc plus accessible car n'existant sur le serveur que durant le temps nécessaire à la fonction.
À tester sur fix/21934_fix_documents_publicly_accessible
Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans
- Statut changé de R&D - En test à Livré
Publié sur maarchRM develop et 2.8.X (future 2.8.6)
Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans
- Assigné à changé de Jérôme BOUCHER à Cyril VAZQUEZ
Mis à jour par Cyril VAZQUEZ il y a plus de 2 ans
- Statut changé de R&D - Terminé à Résolu