Projet

Général

Profil

Actions
Copier le lien

Bug #15217

ouvert

Erreur 403 quand on supprime définitivement des utilisateurs

Bug #15217: Erreur 403 quand on supprime définitivement des utilisateurs

Ajouté par David Lesimple il y a environ 2 mois. Mis à jour il y a environ un mois.

Statut:
Feedback
Priorité:
Normal
Assigné à:
Miguel Moquillon
Catégorie:
Administration
Version cible:
Silverpeas - Version 6.4.7
Début:
11/03/2026
Echéance:
% réalisé:

0%

Temps estimé:
Navigateur:
Tous
Votre version de Silverpeas:
6.4
Système d'exploitation:
Votre base de données:
Toutes
Livraison en TEST:
Livraison en PROD:

Description

Erreur :

2026-03-11 09:59:24,167 SEVERE [silverpeas.web.jobdomain.servlets] (default task-26) http error 403 [/silverpeas/RjobDomainPeas/jsp/blankUsers] -> 
 Forbidden admin access to user with id 0

Fichiers

clipboard-202603110956-nloe3.png (46,1 ko) clipboard-202603110956-nloe3.png David Lesimple, 11/03/2026 09:56
clipboard-202603110956-nloe3.png

Mis à jour par Miguel Moquillon il y a environ 2 mois Actions
Copier le lien
 #1

  • Statut changé de New à Feedback

Je n'arrive pas à reproduire le problème.
Une telle erreur devrait survenir lorsque le token X-ATKN , passé dans la page Web, n'est pas renvoyé à Silverpeas. La page concernée ici est générée par la JSP deletedUsers.jsp , et le token est passé programmatiquement, en JavaScript, à la requête HTTP envoyée par la page lors de la validation du formulaire d'anonymisation des utilisateurs sélectionnés. Il faudrait ici s'assurer que ce token est bien renvoyé (et non filtré par un proxy/passerelle) et que c'est bien cette page qui est utilisée et qu'elle n'a pas été personnalisée.

Mis à jour par David Lesimple il y a environ 2 mois · Edité Actions
Copier le lien
 #2

Miguel Moquillon a écrit (#note-1):

Je n'arrive pas à reproduire le problème.
Une telle erreur devrait survenir lorsque le token X-ATKN , passé dans la page Web, n'est pas renvoyé à Silverpeas. La page concernée ici est générée par la JSP deletedUsers.jsp , et le token est passé programmatiquement, en JavaScript, à la requête HTTP envoyée par la page lors de la validation du formulaire d'anonymisation des utilisateurs sélectionnés. Il faudrait ici s'assurer que ce token est bien renvoyé (et non filtré par un proxy/passerelle) et que c'est bien cette page qui est utilisée et qu'elle n'a pas été personnalisée.

J'ai le token X-STKN mais pas X-ATKN à l'appel de la liste des utilisateurs supprimés:

../displayDeletedUsers?X-STKN=OGEyYjE4YWUtMGYwNi00OWEwLTg0ZGItMWYwZjZlMWRmZDZj

Parfois ça passe, parfois non...

Mis à jour par Miguel Moquillon il y a environ un mois Actions
Copier le lien
 #3

Le token X-ATKN est passé directement côté serveur à la JSP à partir de laquelle la page HTML avec la liste des utilisateurs supprimés est affichée. Le token X-ATKN est alors passé comme paramètre du formulaire HTML par Javascript lors de la validation de l'application du droit à l'oubli. Cf. JSP deletedUsers.jsp , ligne 48 :

function validate() {
  const formRequest = sp.formRequest("blankUsers").byPostMethod();
  checkboxMonitor.prepareFormRequest(formRequest);
  formRequest.addParam('X-ATKN', '${requestScope["X-ATKN"]}');
  formRequest.submit();
}

Actions
Copier le lien

Formats disponibles : PDF Atom