slauriere
commented
5 years ago Ticket lié : #428
Open slauriere opened 5 years ago
slauriere
commented
5 years ago Ticket lié : #428
lucaa
commented
5 years ago Pour l'instant ce risque existe mais il n'est pas limité aux scripts velocity (un include de la sheet des avis suffit aussi), et il est exposé uniquement aux utilisateurs connectés. Comme les comptes utilisateurs seront validés, on part du principe qu'il n'y a pas de raison particulière de le faire. Aussi, les utilisateurs connectés peuvent se déclarer porteurs de démarche (avec consequence sur la visualisation des statistiques d'avis) sans verification (#451), donc la possibilité de scripting n'introduit pas des nouveaux risques.
Actuellement, certaines pages ou sous-pages, typiquement les onglets de démarche, sont générées via un script Velocity, dans lequel l'identifiant de démarche est donné en paramètre de contexte.
Les utilisateurs autorisés à créer des pages sur le site (par exemple les utilisateurs disposant d'un compte) ne doivent pas être autorisés à écrire du code Velocity affichant des données de démarches auxquelles ils n'ont pas explicitement accès. En principe cela est possible par la restriction du droit "script" d'XWiki mais cela nécessite une vérification approfondie. Par exemple actuellement, lorsqu'un utilisateur simplement authentifié crée une démarche, il peut écrire du code Velocity dans le champ de description du formulaire, et ce code est effectivement interprété alors que cela ne devrait pas être le cas.
Deux possibilités : échapper les scripts, rectifier la configuration du droit "script" si elle est mal définie.