Informations
-
Bug
-
Résolution: Non résolu
-
Mineur
-
1.02.10
-
Aucune
Description
La newsletter envoyées contient un lien "voir en ligne".
Lorsqu'un utilisateur clique sur le lien, la requête HTTP est prise en charge par la jsp newsletter.jsp
Dans cette jsp, si l'on vient d'un email (http param FROMMAIL présent), on arrive dans une section de code particulière dédiée à l'affichage d'une newsletter envoyée.
Si la newsletter est de type "public interne" (ie, personnalisée), on effectue un contrôle pour vérifier que l'utilisateur est connecté. Ce contrôle vérifie simplement que code utilisateur du contexte est non vide.
Si ce contrôle est passant, on charge alors la newsletter correspondant à l'email et à l'identifiant de newsletter en paramètre, sans vérifier que l'email de l'utilisateur connecté est bien celui passé en paramètre.
De ce fait, un utilisateur connecté pourra voir n'importe quelle newsletter archivée en faisant varier l'email ou l'id de newsletter.