Debian package release script
[freeside.git] / rt / t / api / execute-code.t
1 use strict;
2 use warnings;
3 use RT::Test tests => 17;
4
5 my $ticket = RT::Ticket->new(RT->SystemUser);
6 ok(
7     $ticket->Create(
8         Subject => 'blue lines',
9         Queue   => 'General',
10     )
11 );
12
13 my $attacker = RT::User->new(RT->SystemUser);
14 ok(
15     $attacker->Create(
16         Name       => 'attacker',
17         Password   => 'foobar',
18         Privileged => 1,
19     )
20 );
21
22 my $template_as_attacker = RT::Template->new($attacker);
23
24 # can't create templates without ModifyTemplate
25 my ($ok, $msg) = $template_as_attacker->Create(
26     Name    => 'Harmless, honest!',
27     Content => "\nhello ;)",
28     Type    => 'Perl',
29 );
30 ok(!$ok, 'permission to create denied');
31
32
33 # permit modifying templates but they must be simple
34 $attacker->PrincipalObj->GrantRight(Right => 'ShowTemplate', Object => $RT::System);
35 $attacker->PrincipalObj->GrantRight(Right => 'ModifyTemplate', Object => $RT::System);
36
37 ($ok, $msg) = $template_as_attacker->Create(
38     Name    => 'Harmless, honest!',
39     Content => "\nhello ;)",
40     Type    => 'Perl',
41 );
42 ok(!$ok, 'permission to create denied');
43
44
45 ($ok, $msg) = $template_as_attacker->Create(
46     Name    => 'Harmless, honest!',
47     Content => "\nhello ;)",
48     Type    => 'Simple',
49 );
50 ok($ok, 'created template now that we have ModifyTemplate');
51
52 ($ok, $msg) = $template_as_attacker->SetType('Perl');
53 ok(!$ok, 'permission to update type to Perl denied');
54
55 my $template_as_root = RT::Template->new(RT->SystemUser);
56 $template_as_root->Load('Harmless, honest!');
57 is($template_as_root->Content, "\nhello ;)");
58 is($template_as_root->Type, 'Simple');
59
60 $template_as_root->Parse(TicketObj => $ticket);
61 is($template_as_root->MIMEObj->stringify_body, "hello ;)");
62
63
64 # update the content to include code (even though Simple won't parse it)
65
66 ($ok, $msg) = $template_as_attacker->SetContent("\nYou are { (my \$message = 'bjarq') =~ tr/a-z/n-za-m/; \$message }!");
67 ok($ok, 'updating Content permitted since the template is Simple');
68
69 $template_as_root = RT::Template->new(RT->SystemUser);
70 $template_as_root->Load('Harmless, honest!');
71
72 is($template_as_root->Content, "\nYou are { (my \$message = 'bjarq') =~ tr/a-z/n-za-m/; \$message }!");
73 is($template_as_root->Type, 'Simple');
74
75 $template_as_root->Parse(TicketObj => $ticket);
76 is($template_as_root->MIMEObj->stringify_body, "You are { (my \$message = 'bjarq') =~ tr/a-z/n-za-m/; \$message }!");
77
78
79 # try again, why not
80 ($ok, $msg) = $template_as_attacker->SetType('Perl');
81 ok(!$ok, 'permission to update type to Perl denied');
82
83
84 # now root will change the template to genuine code
85 $template_as_root = RT::Template->new(RT->SystemUser);
86 $template_as_root->Load('Harmless, honest!');
87 $template_as_root->SetType('Perl');
88 $template_as_root->SetContent("\n{ scalar reverse \$Ticket->Subject }");
89
90 $template_as_root->Parse(TicketObj => $ticket);
91 is($template_as_root->MIMEObj->stringify_body, "senil eulb");
92
93
94 # see if we can update anything
95 $template_as_attacker = RT::Template->new($attacker);
96 $template_as_attacker->Load('Harmless, honest!');
97
98 ($ok, $msg) = $template_as_attacker->SetContent("\nYou are { (my \$message = 'bjarq') =~ tr/a-z/n-za-m/; \$message }!");
99 ok(!$ok, 'updating Content forbidden since the template is Perl');
100
101 # try again just to be absolutely sure it doesn't work
102 $template_as_root = RT::Template->new(RT->SystemUser);
103 $template_as_root->Load('Harmless, honest!');
104 $template_as_root->SetType('Perl');
105 $template_as_root->SetContent("\n{ scalar reverse \$Ticket->Subject }");
106
107 $template_as_root->Parse(TicketObj => $ticket);
108 is($template_as_root->MIMEObj->stringify_body, "senil eulb");