oiLddlddlmZddlZGddejZy))*)cmf_answer_templateNceZdZej ej ZejjddgzZ fdZ ddfd Z e dZe d Ze d efd Ze d Z gd ZxZS)CmfAnswerTemplate) autoescapetemplate_renderget_template_fieldsc|js tddtj|j}|j r|j d|dsd|_|jj|jdk(r0d d |jgd d |jgd d |jggdg}nAd d |jgd d |jgd d |jggddd tjgg}tjj|rtd|jdd|j r!|j stj|_t#|H|i|S)NueВнимание! Шаблонный ответ должен быть создан в проекте.T)abortz PPP-PR-ADMINF)obj raise_errorprivatecommonname==parentidz!=) answer_typerr)rrrperson)filteruTВ этом проекте уже есть шаблон с таким именем ())r cmf_alertAPPget_cache_project project_idis_newcheck_project_role_accessrloadrrg current_usermodelsrgetrsupersave)selfargskwargsprojectr __class__s 3./modules/servicedesk/models/cmf_answer_template.pyr$zCmfAnswerTemplate.save sa{{ }FJ K''8 ;;w@@U\jo@p(D     x 'tTYY/(D$++1NQUW[]a]d]dPehGHFtTYY/(D$++1NQUW[]a]d]dPe648XZF  # # ' 'v ' 6 lmqmvmvlwwxyBF G ;;t{{..DKw|T,V,,T) recursivec&t||d|i|S)Nr,)r#delete)r%r,r&r'r)s r*r.zCmfAnswerTemplate.delete%sw~tCyCFCCr+c|jS)uhВозвращает на фронт список возможных переменных шаблона)_template_fields)clss r*r z%CmfAnswerTemplate.get_template_fields(s###r+c d}|jgdz}tj||}td}i}|D]K}t ||st ||drt ||j ||<;t ||||<Mt tjj |d<t |dj |d <||j|d <||||d <t |jj |d <|S) z c|jjjdr2|d|jjd|jjS||jj S)Nzproject.servicedeskz servicedesk//)r logic_prefix startswithui_namecodehref)r urls r* portal_urlz:CmfAnswerTemplate.prepare_template_ctx..portal_url1s^zz&&112GHl3::+=+=*>a ?PQQszz/00r+) cmf_ownerrzparent.logic_prefix)fieldsT)full_urlrr r<reportertask_urlr; client_status) r0cmfutil get_obj_by_id app_base_hrefhasattrstrrrr r9status) r1obj_idr'r;r=r r:ctxfields r*prepare_template_ctxz&CmfAnswerTemplate.prepare_template_ctx-s 1 %%(VV##F6#:T* 1EsE"3u:v.!$SZ__!5CJ!$SZCJ  1"!.."5"56Nc+.334J E#((,J&sC0L"3::??3O r+returncntjd}fd}d}tj|||}|S)u* Быстрое решение чтобы прикрыть дыру. Обсудить на техкоме! Так как шаблоны может создавать любой пользователь, а не только администратор, то возможна SSTI атака на Jinja https://bcrm.carbonsoft.ru/project/List/SPR-011412?obj=Task:TEM-1625035715#stp-skb-ssti-v-shablonnyh-otveta-v-devel Разрешаем только заранее ограниченный список полей! z \{\{(.*?)\}\}c|jdj}|jvr&d|d}tj |t ||jdS)Nu,Некорректное выражение u в шаблоне!r)groupstripr0loggingerror Exception)match expressionrSr1s r* escape_matchz6CmfAnswerTemplate.clean_template..escape_matchUs[Q--/J!5!55FzlRef e$&&;;q> !r+)recompilesub)r1templatere_expressionsrWpatternescaped_templates` r*clean_templatez CmfAnswerTemplate.clean_templateLs:O4 "#66'<Br+c |j|}|jj|}|j|fi|}|jdi|S)N)r_ _jinja_env from_stringrKrender)r1rHtextr'r[ template_ctxs r*rz!CmfAnswerTemplate.template_renderesQ!!$'>>--d3/s//A&A x...r+) r responsiblerer8r?rArr;rGr@)__name__ __module__ __qualname__jinja2 Environmentrselect_jinja_autoescaperbrr api_methodsr$r. classmethodr rKrFr_rr0 __classcell__)r)s@r*rrs##s/J/J#KJ%77CC  !G  K -2'+D$$<   0// Pr+r) cmf.includemodules.servicedesk.fieldsrrXrrar+r*rss%: uP+==uPr+