Le 17 avril 2013 18:58, Alexandre <alex(a)pirine.fr> a écrit :
Je suis pour, à partir du moment où les gens savent ce qu'ils
font.
Tu dis ça parce que toi tu sais ce que tu fais :p
Plus sérieusement, si le super-admin n'est super-admin que de dotclear
mais qu'il y a d'autre logiciels utilisant la base, cela lui permet de
faire des bêtises. Dans l'absolu, ce n'est pas une faille, puisqu'un
super-admin peut installer des plugins, et que ceux-ci peuvent faire
les mêmes actions sur la base, mais c'est quand même dérangeant...
Après, il faudrait savoir si on peut appeler le plougue depuis
l'extérieur, genre pf?nomduplugin&scriptXSS et y ajouter de quoi
vraiment faire des dégâts si on sait qu'il est installé ?
--
Philippe