Anomalie #21934
fermé[Sécurité] Vulnérabilité de contrôle d'accès sur document prévisualisés
Description
Une vulnérabilité de contrôle d'accès permet à toute personne ayant accès aux URLs ({url}/tmp/{MD5 hash du document}) de récupérer les documents de certains
types (pdf, email, etc, selon la configuration de la fonction de prévisualisation) présents dans les archives, de manière non authentifiée.
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Sujet changé de [Sécurité] Contrôle d'accès insuffisant sur document prévisualisés à [Sécurité] Vulnérabilité de contrôle d'accès sur document prévisualisés
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Assigné à changé de Cyril VAZQUEZ à Jérôme BOUCHER
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Tags RM 2.8.X, 2.9.X ajouté
- Tags RM
2.9supprimé
Mis à jour par Jérôme BOUCHER il y a environ 2 ans
- Statut changé de En cours à R&D - En cours
Mis à jour par Jérôme BOUCHER il y a environ 2 ans
- Statut changé de R&D - En cours à R&D - En test
Modification du code pour générer la balise HTML object dans la vue au lieu du presenter. La vue reçoit un json contenant le mimetype et le fichier encodé en base64 au lieu d'un chemin vers /tmp
Le fichier pdf crée dans le presenter pendant la preview est maintenant supprimé une fois cette preview crée, il n'est donc plus accessible car n'existant sur le serveur que durant le temps nécessaire à la fonction.
À tester sur fix/21934_fix_documents_publicly_accessible
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Statut changé de R&D - En test à Livré
Publié sur maarchRM develop et 2.8.X (future 2.8.6)
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Assigné à changé de Jérôme BOUCHER à Cyril VAZQUEZ
Mis à jour par Cyril VAZQUEZ il y a environ 2 ans
- Statut changé de R&D - Terminé à Résolu