Un rédacteur peut attacher un document à un article qu'il n'a pas le droit de modifier
Bonjour, Sur un site de test avec SPIP 3.0.17 [21515] sans aucun plugin ajouté.
L'administrateur du site créé l'article 1 et le publie (il est le seul auteur de cet article).
Un rédacteur du site :
- créé l'article 2,
- téléverse, depuis son ordinateur, un document dans l'article 2,
- affiche le formulaire de modification du document,
- dans la partie "ce document est lié à ...", il clique sur le bouton ajouter,
- dans la case "ajout rapide" il saisit 1 (le numéro de l'article 1 créé par l'administrateur) et clique sur le lien ajouter.
Sur le site public, l'article 1 affiche désormais le document de l'article 2. Un examen de la BDD confirme que le document est bien lié aux deux articles.
En résumé, un rédacteur peut attacher un document à un article qu'il n'a pas le droit de modifier.
Remarque : dans ecrire/action/editer_liens.php, la fonction lien_insert ne semble pas vérifier que l'utilisateur a le droit de modifier l'objet.
Cordialement Equipement