ArianeBlow
commented
2 years ago Dasn mon infini sagesse, je vous ait envoyé un mail avec "le reste". (PS: je n'ai pas essayé de fair du RCE via le file upload de XML, à savoir que c'est en thérorie possible via appel d'entité extern).
Hello,
Il y a un petit soucis dans le contrôle des fichiers uploadés via le file upload du module ITSM.
La possibilité d'uploader du format XML devrait se suivre d'un contrôle du dit fichier, en l'état il est possible d'uploader (via un user authentifié), un document XML contenant une XSS ou d'autres joyeusetées malicieuses.