[spip-dev] =?iso-8859-1?Q?1.4c5:_gros_trou_de_securite_sur_multibase!!!?=

Chalut!
Suite a mon mail précédent sur la possibilité d'un
multibase/un admin je me suis posé la question toute con: et
si je passait le préfixe par l'url??? Bah ca marche!... Je
n'ai malheureusement pas put pousser mes tests plus loin vu
que j'ai deux versions de spip différentes (et que l'on me
demande d'upgrader la plus vielle) mais est ce que ca veut
dire que n'importe quel auteur/admin identifié sur mon site
peut creer un article sur un autre site voir plus?

David

Accédez au courrier électronique de La Poste : www.laposte.net ; 3615 LAPOSTENET (0,13 €/mn) ; tél : 08 92 68 13 50 (0,34€/mn)"

RE!
Mon, message semblant être passé à la trappe (surtout quand j'entend Arno
parler de RC1) je me permet de le renvoyer n'ayant pas le temps d'aller
remplir le gestionnaire de bug.

Chalut!
Suite a mon mail précédent sur la possibilité d'un multibase/un admin je me
suis posé la question toute con: et si je passait le préfixe par l'url???
Bah ca marche!... Je n'ai malheureusement pas pu pousser mes tests plus loin
vu que j'ai deux versions de spip différentes (et que l'on me demande
d'upgrader la base) mais il semble qu'un auteur/admin connecté sur un site
puisse en voir un autre simplement en passant le préfixe de la base dans
l'URL. Est ce que ca veut dire que n'importe quel auteur/admin identifié sur
mon site peut creer un article sur un autre site voir plus? Gros trou en
perspective me semble-t-il...

David

Suite a mon mail précédent sur la possibilité d'un multibase/un admin je me
suis posé la question toute con: et si je passait le préfixe par l'url???
Bah ca marche!...

J'ai essayé et pas réussi à hacker spip comme ça.

-- Fil