Actions
Bug #14924
fermé
Cloisonnement des rôles
Début:
11/07/2025
Echéance:
% réalisé:
0%
Temps estimé:
Navigateur:
Tous
Votre version de Silverpeas:
6.4
Système d'exploitation:
Votre base de données:
Toutes
Livraison en TEST:
Livraison en PROD:
Description
Via le lien envoyé par une notification, il est possible d'accéder à des actions d'autres rôles que le sien.
Pour cela il suffit de changer le paramètre "rôle" et mettre d'identifiant d'un autre rôle pour accéder au workflow avec les privilèges de ce rôle.
Actions
#1
Mis à jour par David Lesimple il y a 27 jours
- Statut changé de New à Assigned
- Version cible mis à Version 6.4.4
Actions
#2
Mis à jour par Miguel Moquillon il y a 27 jours
- Statut changé de Assigned à Feedback
Si l'utilisateur décide de modifier le rôle à passer dans le lien et qu'il n'est pas censé jouer ce rôle, n'y aurait il pas une erreur au moins 500 au rendu de la page ciblée par le lien ?
Actions
#3
Mis à jour par Miguel Moquillon il y a 27 jours
- Statut changé de Feedback à In progress...
J'ai pu reproduire le bogue. L'erreur 500 détecté chez moi provenait d'une erreur de syntaxe dans le nom du rôle
Actions
#4
Mis à jour par Miguel Moquillon il y a 27 jours
- Statut changé de In progress... à Closed
Corrigé directement dans la branche 6.4.x et correction reportée dans la branche master
Actions