fix(client-portal) : forbid SMB share-link document creation for client users
Security hardening on the document POST that phase 1 widened to ROLE_CLIENT: a client user could reach the share-link path (arbitrary SMB file reference) instead of an upload. Now the sharePath branch is admin-only — client users must upload. attachTarget already scopes documents to the client's own ticket. 178 tests green.
This commit is contained in:
Matthieu
+8
@@ -94,6 +94,14 @@ final readonly class TaskDocumentProcessor implements ProcessorInterface
|
||||
// Deux modes de création : upload d'un fichier (multipart) ou lien vers un fichier du partage SMB (JSON).
|
||||
$sharePath = $this->extractSharePath($request);
|
||||
|
||||
// Sécurité : un utilisateur client ne peut PAS créer de lien vers le
|
||||
// partage SMB interne (référence de fichier arbitraire hors de son
|
||||
// périmètre) — seul le téléversement lui est permis. Le lien partage
|
||||
// reste réservé aux administrateurs.
|
||||
if (null !== $sharePath && !$this->security->isGranted('ROLE_ADMIN')) {
|
||||
throw new AccessDeniedHttpException('Les utilisateurs clients ne peuvent pas créer de lien vers le partage ; un téléversement est requis.');
|
||||
}
|
||||
|
||||
$document = null !== $sharePath
|
||||
? $this->createShareLink($request, $sharePath)
|
||||
: $this->createUpload($request);
|
||||
|
||||
Reference in New Issue
Block a user