[spip-dev] Ecran de sécurité bloque les MAJ et les exec avec paramètres ... voulu ?

Bonjour,

Lors d'une mise à jour de plugin, avec l'écran de sécurité branché, le retour vers la page de départ est bloqué 403 car son adresse est par ex. :
  ecrire/?exec=admin_plugin&plugin=plugins/auto/barre_typo_v2

Hors, l'écran de sécu est très clair :

  if (isset($_REQUEST['exec'])
  AND !preg_match(',^\w+$,', (string)$_REQUEST['exec']))
    $ecran_securite_raison = "exec";

Je constate que ce bug a lieu sous SPIP 2.0, 2.1, mais pas sous 2.2

Voici ce que donne un var_export de $_REQUEST['exec'] :

  Array ( [exec] => admin_plugin&plugin=plugins/auto/barre_typo_v2 [plugin] => plugins/auto/barre_typo_v2

Merci boucoup pour le correctif.

Pat

Lors d'une mise à jour de plugin, avec l'écran de sécurité branché, le
retour vers la page de départ est bloqué 403 car son adresse est par ex. :
ecrire/?exec=admin_plugin&plugin=plugins/auto/barre_typo_v2

cette adresse est pourtant bien censée donner exec=admin_plugin ; mais
le paramètre fautif est passé en POST.
corrigé en [17002]

Je constate que ce bug a lieu sous SPIP 2.0, 2.1, mais pas sous 2.2

le code est le même et je reproduis le bug dans la branche dev

-- Fil

Merci bcp.
A voir donc pour le report sur les autres branches
Pat