Correction sur le nom du fichier PDF (bug lié au test d'intrusion)
Etapes pour reproduire le bug
Vulnéralité sur test d'intrusion
Quel est le comportement actuel
lors de la recherche sur l'application un fichier PDF est généré puis envoyé par courriel. Il a été possible d’altérer le nom du fichier généré en utilisant un caractère nulle suivi d’un double guillemet. Le nom du fichier générer se trouve tronqué au niveau de l’injection et il est possible de modifier le type de fichiers Par conséquent, nous souhaiterions vous demander de corriger cette faille de sécurité concernant le nom du fichier PDF.
Quel est le comportement correct
le nom du fichier ne doit pas pouvoir être modifié ou altéré
Fichiers journaux ou copies d'écrans
pas de copie d'écran possible
Pistes de solution
correction pour que le nom du fichier ne puisse pas être modifié ou altéré
/cc @mfaure