Каковы последствия для безопасности "Отправки произвольных файлов" в разрешениях

Это означает, что MimeMail (потому что это разрешение MimeMail) сможет прикрепить файл, который не находится в каталоге общедоступных файлов, например, личные файлы, settings.php или любой другой файл в вашей файловой системе.

Однако использование этого разрешения обязательно для прикрепления личных файлов, например, потому что они находятся за пределами каталога общедоступных файлов.

В чем заключаются проблемы безопасности? Ну, это зависит от того, что вы прикрепляете к своему электронному письму и как. Например, если путь прикрепленный файл зависит от некоторого пользовательского ввода, пользователь потенциально может создать специальный ввод, который может привести к прикреплению определенных файлов, таких как settings.php файл или любой личный файл (если злоумышленник знает путь к файлу или может его угадать). Если ваш код этого не позволяет, вы, вероятно, в безопасности.

Например, у вас могут быть личные файлы на ваших узлах, и ваш код просто отправляет по электронной почте личный файл определенного узла с учетом его nid, и вы получаете nid сформировать кнопку в полном представлении узла страница. В этом сценарии, похоже, злоумышленник не может создать отправку, в результате которой будет прикреплен произвольный файл.

В словах мимической почты:

Разрешение "отправлять произвольные файлы" позволяет вам прикреплять или вставлять файлы, расположенные за пределами каталога общедоступных файлов Drupal. Обратите внимание, что это имеет последствия для безопасности: произвольный включает даже ваш settings.php! Отдавайте только доверенным ролям!

Также проверьте, как MimeMail использует "отправлять произвольные файлы" разрешение