From 7ba2a95fbf98db02c57b856ee542a86a4c0233ad Mon Sep 17 00:00:00 2001
From: Cerdic <cedric@yterium.com>
Date: Thu, 14 Apr 2022 10:49:18 +0200
Subject: [PATCH] appeler copie_locale() avec la callback
 valider_url_distante() pour verifier l'URL finale que l'on copie
 https://git.spip.net/spip-team/securite/issues/4336

---
 action/copier_local.php | 4 +++-
 1 file changed, 3 insertions(+), 1 deletion(-)

diff --git a/action/copier_local.php b/action/copier_local.php
index e4861f89..9df8b71f 100644
--- a/action/copier_local.php
+++ b/action/copier_local.php
@@ -61,7 +61,9 @@ function action_copier_local_post($id_document) {
 		tester_url_absolue($source)
 		and valider_url_distante($source)
 	) {
-		$fichier = copie_locale($source);
+		// on fait une copie locale en verifiant aussi l'URL finale qui a été récupérée
+		$fichier = copie_locale($source, 'auto', null, null, 'valider_url_distante');
+		// on revalide la source *apres* copie car si elle est controlee par un serveur dns malicieux elle peut etre changeante
 		if (
 			$fichier
 			and valider_url_distante($source)
-- 
GitLab