6iHddlTddlmZddlZGddejZdS))*)cmf_answer_templateNceZdZeejZej j ddgzZ fdZ ddfd Z e dZe d Ze d efd Ze d Z gd ZxZS)CmfAnswerTemplate) autoescapetemplate_renderget_template_fieldsc|jstddt|j}|jr|d|dsd|_|j|jdkr!d d |j gd d |jgd d |j ggdg}n.d d |j gd d |jgd d |j ggddd tj gg}tj|rtd|j dd|jr|jstj |_t#j|i|S)NueВнимание! Шаблонный ответ должен быть создан в проекте.T)abortz PPP-PR-ADMINF)obj raise_errorprivatecommonname==parentidz!=) answer_typerr)rrrperson)filteruTВ этом проекте уже есть шаблон с таким именем ())r cmf_alertAPPget_cache_project project_idis_newcheck_project_role_accessrloadrrg current_usermodelsrgetrsupersave)selfargskwargsprojectr __class__s 3./modules/servicedesk/models/cmf_answer_template.pyr$zCmfAnswerTemplate.save s{ K }FJ K K K K''88 ; )w@@U\jo@pp )(D    x ' 'tTY/(D$+1NQUW[]a]dPehGhGhGHFFtTY/(D$+1NQUW[]a]dPe66648XZF  # ' 'v ' 6 6 G ymqmvyyyBF G G G G ; )t{ ).DKuww|T,V,,,T) recursivec:tj|d|i|S)Nr,)r#delete)r%r,r&r'r)s r*r.zCmfAnswerTemplate.delete%s#uww~tCyCFCCCr+c|jS)uhВозвращает на фронт список возможных переменных шаблона)_template_fields)clss r*r z%CmfAnswerTemplate.get_template_fields(s ##r+c 0d}|jgdz}t||}td}i}|D]^}t ||rLt ||drt ||j||<Ft ||||<_t tjj|d<t |dj|d <||j |d <||||d <t |j j|d <|S) z c|jjdr|d|jjd|jjS||jjS)Nzproject.servicedeskz servicedesk//)r logic_prefix startswithui_namecodehref)r urls r* portal_urlz:CmfAnswerTemplate.prepare_template_ctx..portal_url1sXz&112GHH 1QQ3:+=QQ QQQ0sz000r+) cmf_ownerrzparent.logic_prefix)fieldsT)full_urlrr r<reportertask_urlr; client_status) r0cmfutil get_obj_by_id app_base_hrefhasattrstrrrr r9status) r1obj_idr'r;r=r r:ctxfields r*prepare_template_ctxz&CmfAnswerTemplate.prepare_template_ctx-s/ 1 1 1 %(V(V(VV##F6#::T*** 1 1EsE"" 13u:v..1!$SZ_!5!5CJJ!$SZCJ!!."566Nc+.344J ,#(,,J&JsC00L"3:?33O r+returncjtjd}fd}d}tj|||}|S)u* Быстрое решение чтобы прикрыть дыру. Обсудить на техкоме! Так как шаблоны может создавать любой пользователь, а не только администратор, то возможна SSTI атака на Jinja https://bcrm.carbonsoft.ru/project/List/SPR-011412?obj=Task:TEM-1625035715#stp-skb-ssti-v-shablonnyh-otveta-v-devel Разрешаем только заранее ограниченный список полей! z \{\{(.*?)\}\}c|d}|jvr/d|d}t|t ||dS)Nu,Некорректное выражение u в шаблоне!r)groupstripr0loggingerror Exception)match expressionrSr1s r* escape_matchz6CmfAnswerTemplate.clean_template..escape_matchUslQ--//J!555fzfff e$$$&&&;;q>> !r+)recompilesub)r1templatere_expressionsrWpatternescaped_templates` r*clean_templatez CmfAnswerTemplate.clean_templateLsPO44 " " " " "#6'<BBr+c ||}|j|}|j|fi|}|jdi|S)N)r_ _jinja_env from_stringrKrender)r1rHtextr'r[ template_ctxs r*rz!CmfAnswerTemplate.template_renderes\!!$''>--d33/s/AA&AA x.....r+) r responsiblerer8r?rArr;rGr@)__name__ __module__ __qualname__jinja2 Environmentrselect_jinja_autoescaperbrr api_methodsr$r. classmethodr rKrFr_rr0 __classcell__)r)s@r*rrs&##s/J#KKJ%7C  !G  K -----2'+DDDDDDD$$[$[<    [ 0//[/ PPPr+r) cmf.includemodules.servicedesk.fieldsrrXrrar+r*rssx:::::: uPuPuPuPuP+=uPuPuPuPuPr+