Le token était divulgé à tout le monde en accédant au flux RSS généré par FreshRSS via le lien Le token n'est plus affiché désormais si l'accès anonyme est autorisé
@@ -130,7 +130,9 @@
}
$token = $this->conf->token ();
- if (login_is_conf($this->conf) && $token != '') {
+ if (login_is_conf($this->conf) &&
+ $this->conf->anonAccess() == 'no' &&
+ $token != '') {
$params['token'] = $token;
Marien Fressinaud