Pas de verification d'autorisation dans l'action supprimer
Le commentaire dit
/**
* Action pour supprimer un·e xxxx
*
* Vérifier l'autorisation avant d'appeler l'action.
*
* @param null|int $arg
* Identifiant à supprimer.
* En absence de id utilise l'argument de l'action sécurisée.
**/
Mais c'est une mauvaise pratique : c'est à l'action supprimer de vérifier l'autorisation de la personne connectée, sinon on est très vulnérable à une un injection
+ if (autoriser('supprimer', 'xxxx', $arg)) {
(cela concerne les objets sans statut je pense)