Ticket #333 (closed defeito: fixed)
Validação no PHP do campo remetente
Reported by: | niltonneto | Owned by: | Rodrigo Souza |
---|---|---|---|
Priority: | grave | Milestone: | |
Component: | ExpressoMail | Version: | 1.0 |
Severity: | Keywords: | ||
Cc: | WorkGroup: |
Description
Se um usuário tem direito de envio por outros usuários (conta institucional ou usuário compartilhado), ao abrir a aba de nova mensagem, então aparece uma select box para que ele possa alterar o remetente. Dessa forma, um usuário mal-intencionado pode utilizar um Debugger por exemplo "Firebug", para alterar essa selectbox com dados que ele bem queira, forjando o remetente da mensagem.
Solução: Validar na classe PHP o remetente enviado no submit da mensagem, verificando se os pares usuario/email enviados estão de acordo com as regras do Expresso.
Change History
Note: See
TracTickets for help on using
tickets.