Anomalie #21934
[Sécurité] Vulnérabilité de contrôle d'accès sur document prévisualisés
Description
Une vulnérabilité de contrôle d'accès permet à toute personne ayant accès aux URLs ({url}/tmp/{MD5 hash du document}) de récupérer les documents de certains
types (pdf, email, etc, selon la configuration de la fonction de prévisualisation) présents dans les archives, de manière non authentifiée.
History
#1 Updated by Cyril VAZQUEZ over 1 year ago
- Subject changed from [Sécurité] Contrôle d'accès insuffisant sur document prévisualisés to [Sécurité] Vulnérabilité de contrôle d'accès sur document prévisualisés
#2 Updated by Cyril VAZQUEZ about 1 year ago
- Target version changed from 2.9 to 2.9.1
#3 Updated by Cyril VAZQUEZ about 1 year ago
- Assignee changed from Cyril VAZQUEZ to Jérôme BOUCHER
#4 Updated by Cyril VAZQUEZ about 1 year ago
- Tags RM 2.8.X, 2.9.X added
- Tags RM deleted (
2.9)
#5 Updated by Jérôme BOUCHER about 1 year ago
- Status changed from A traiter to En cours
#6 Updated by Jérôme BOUCHER about 1 year ago
- Status changed from En cours to R&D - En cours
#7 Updated by Jérôme BOUCHER about 1 year ago
- Status changed from R&D - En cours to R&D - En test
Modification du code pour générer la balise HTML object dans la vue au lieu du presenter. La vue reçoit un json contenant le mimetype et le fichier encodé en base64 au lieu d'un chemin vers /tmp
Le fichier pdf crée dans le presenter pendant la preview est maintenant supprimé une fois cette preview crée, il n'est donc plus accessible car n'existant sur le serveur que durant le temps nécessaire à la fonction.
À tester sur fix/21934_fix_documents_publicly_accessible
#8 Updated by Cyril VAZQUEZ about 1 year ago
- Status changed from R&D - En test to Livré
Publié sur maarchRM develop et 2.8.X (future 2.8.6)
#9 Updated by Cyril VAZQUEZ about 1 year ago
- Status changed from Livré to R&D - Terminé
#10 Updated by Cyril VAZQUEZ about 1 year ago
- Assignee changed from Jérôme BOUCHER to Cyril VAZQUEZ
#11 Updated by Cyril VAZQUEZ about 1 year ago
- Status changed from R&D - Terminé to Résolu
#12 Updated by Cyril VAZQUEZ about 1 year ago
- Status changed from Résolu to A livrer
#13 Updated by Cyril VAZQUEZ 12 months ago
- Status changed from A livrer to Livré
#14 Updated by Cyril VAZQUEZ 12 months ago
- Status changed from Livré to Clôturé