Anomalie #21934
fermé
[Sécurité] Vulnérabilité de contrôle d'accès sur document prévisualisés
Ajouté par Cyril VAZQUEZ il y a environ 2 ans.
Mis à jour il y a presque 2 ans.
Description
Une vulnérabilité de contrôle d'accès permet à toute personne ayant accès aux URLs ({url}/tmp/{MD5 hash du document}) de récupérer les documents de certains
types (pdf, email, etc, selon la configuration de la fonction de prévisualisation) présents dans les archives, de manière non authentifiée.
- Sujet changé de [Sécurité] Contrôle d'accès insuffisant sur document prévisualisés à [Sécurité] Vulnérabilité de contrôle d'accès sur document prévisualisés
- Version cible changé de 2.9 à 2.9.1
- Assigné à changé de Cyril VAZQUEZ à Jérôme BOUCHER
- Tags RM 2.8.X, 2.9.X ajouté
- Tags RM
2.9 supprimé
- Statut changé de A traiter à En cours
- Statut changé de En cours à R&D - En cours
- Statut changé de R&D - En cours à R&D - En test
Modification du code pour générer la balise HTML object dans la vue au lieu du presenter. La vue reçoit un json contenant le mimetype et le fichier encodé en base64 au lieu d'un chemin vers /tmp
Le fichier pdf crée dans le presenter pendant la preview est maintenant supprimé une fois cette preview crée, il n'est donc plus accessible car n'existant sur le serveur que durant le temps nécessaire à la fonction.
À tester sur fix/21934_fix_documents_publicly_accessible
- Statut changé de R&D - En test à Livré
Publié sur maarchRM develop et 2.8.X (future 2.8.6)
- Statut changé de Livré à R&D - Terminé
- Assigné à changé de Jérôme BOUCHER à Cyril VAZQUEZ
- Statut changé de R&D - Terminé à Résolu
- Statut changé de Résolu à A livrer
- Statut changé de A livrer à Livré
- Statut changé de Livré à Clôturé
Formats disponibles : Atom
PDF