Lorsque l'on ajoute un usager sur une autre orga, un formulaire apparait pour envoyer un mail à la nouvelle organisation que l'usager a été ajouté.
Or pour ce mail envoyé depuis l'adresse [email protected] on peut:

• Changer le destinaire de l'email en tweakant le html
• Changer le contenu de l'email
• Y ajouter des pièces jointes pouvant être des malwares

Cette feature peut donc être un bon vecteur de phishing pour un agent mal intentionné (voir https://yeswehack.com/vulnerability-center/reports/334721).

Il faudrait donc pour résoudre cela:

• Ne pas permettre la modification du destinaire
• Ne pas permettre de changer le contenu ou le sujet de l'email
• Vérifier le contenu des pièces jointes jointes avant de les uploader: https://www.notion.so/gip-inclusion/S-curiser-un-upload-de-fichier-1975f321b60480e2a8d9e06b4c60a715