1*)i HddlTddlmZddlZGddejZdS))*)cmf_answer_templateNceZdZeejZej j ddgzZ fdZ ddfd Z e dZe d Ze d efd Ze d Z gd ZxZS)CmfAnswerTemplate) autoescapetemplate_renderget_template_fieldscV|jstddt|j}|jr|d|dsd|_|jdkr!d d |jgd d |jgd d |j ggdg}n.d d |jgd d |jgd d |j ggddd tj gg}tj |rtd|jdd|jr|jstj |_t!j|i|S)NueВнимание! Шаблонный ответ должен быть создан в проекте.T)abortz PPP-PR-ADMINF)obj raise_errorprivatecommonname==parentidz!=) answer_typerr)rrrperson)filteruTВ этом проекте уже есть шаблон с таким именем ())r cmf_alertAPPget_cache_project project_idis_newcheck_project_role_accessrrrg current_usermodelsrgetrsupersave)selfargskwargsprojectr __class__s 3./modules/servicedesk/models/cmf_answer_template.pyr#zCmfAnswerTemplate.save s{ K }FJ K K K K''88 ; )w@@U\jo@pp )(D   x ' 'tTY/(D$+1NQUW[]a]dPehGhGhGHFFtTY/(D$+1NQUW[]a]dPe66648XZF  # ' 'v ' 6 6 G ymqmvyyyBF G G G G ; )t{ ).DKuww|T,V,,,T) recursivec:tj|d|i|S)Nr+)r"delete)r$r+r%r&r(s r)r-zCmfAnswerTemplate.delete$s#uww~tCyCFCCCr*c|jS)uhВозвращает на фронт список возможных переменных шаблона)_template_fields)clss r)r z%CmfAnswerTemplate.get_template_fields's ##r*c 0d}|jgdz}t||}td}i}|D]^}t ||rLt ||drt ||j||<Ft ||||<_t tjj|d<t |dj|d <||j |d <||||d <t |j j|d <|S) z c|jjdr|d|jjd|jjS||jjS)Nzproject.servicedeskz servicedesk//)r logic_prefix startswithui_namecodehref)r urls r) portal_urlz:CmfAnswerTemplate.prepare_template_ctx..portal_url0sXz&112GHH 1QQ3:+=QQ QQQ0sz000r*) cmf_ownerrzparent.logic_prefix)fieldsT)full_urlrrr;reportertask_urlr: client_status) r/cmfutil get_obj_by_id app_base_hrefhasattrstrrrrr8status) r0obj_idr&r:r<r r9ctxfields r)prepare_template_ctxz&CmfAnswerTemplate.prepare_template_ctx,s/ 1 1 1 %(V(V(VV##F6#::T*** 1 1EsE"" 13u:v..1!$SZ_!5!5CJJ!$SZCJ!!."566Nc+.344J ,#(,,J&JsC00L"3:?33O r*returncjtjd}fd}d}tj|||}|S)u* Быстрое решение чтобы прикрыть дыру. Обсудить на техкоме! Так как шаблоны может создавать любой пользователь, а не только администратор, то возможна SSTI атака на Jinja https://bcrm.carbonsoft.ru/project/List/SPR-011412?obj=Task:TEM-1625035715#stp-skb-ssti-v-shablonnyh-otveta-v-devel Разрешаем только заранее ограниченный список полей! z \{\{(.*?)\}\}c|d}|jvr/d|d}t|t ||dS)Nu,Некорректное выражение u в шаблоне!r)groupstripr/loggingerror Exception)match expressionrRr0s r) escape_matchz6CmfAnswerTemplate.clean_template..escape_matchTslQ--//J!555fzfff e$$$&&&;;q>> !r*)recompilesub)r0templatere_expressionsrVpatternescaped_templates` r)clean_templatez CmfAnswerTemplate.clean_templateKsPO44 " " " " "#6'<BBr*c ||}|j|}|j|fi|}|jdi|S)N)r^ _jinja_env from_stringrJrender)r0rGtextr&rZ template_ctxs r)rz!CmfAnswerTemplate.template_renderds\!!$''>--d33/s/AA&AA x.....r*) r responsiblerdr7r>r@rr:rFr?)__name__ __module__ __qualname__jinja2 Environmentrselect_jinja_autoescaperarr api_methodsr#r- classmethodr rJrEr^rr/ __classcell__)r(s@r)rrs&##s/J#KKJ%7C  !G  K -----0'+DDDDDDD$$[$[<    [ 0//[/ PPPr*r) cmf.includemodules.servicedesk.fieldsrrWrr`r*r)rrsx:::::: tPtPtPtPtP+=tPtPtPtPtPr*