Skip to content

Pas d'autorisation lors de la récupération d'un fichier depuis un email

Quand une réponse est envoyée par mail, les liens vers les fichiers pointent sur action_formidable_recuperer_fichier_par_email qui ne teste pas d'autorisation :

https://git.spip.net/spip-contrib-extensions/formidable/src/commit/2e564c60ec657bd2fc24d5707c6ce24851f8eeb8/action/formidable_recuperer_fichier_par_email.php#L12

Alors que depuis le privé, action_formidable_recuperer_fichier teste bien autoriser('voir', 'formulairesreponse',...) :

https://git.spip.net/spip-contrib-extensions/formidable/src/commit/2e564c60ec657bd2fc24d5707c6ce24851f8eeb8/action/formidable_recuperer_fichier.php#L34

Si on ajoute une autorisation lors de la récupération depuis un email, ça oblige les gens à être connectés.

Mais ça pourrait être une autorisation _dist qui retourne true, elle même surchargeable pour des cas particuliers.

Forge communautaire SPIP | Charte d'utilisationSignaler un problème sur ce site