Project

General

Profile

Actions

Bug #3133

closed

URGENT: Problème de sécurité (confidentialité des informations)

Added by Anonymous over 9 years ago. Updated over 9 years ago.

Status:
Closed
Priority:
Immediate
Start date:
04/05/2012
Due date:
% Done:

100%

Estimated time:
Navigateur:
Tous
Votre version de Silverpeas:
5.8.1
Système d'exploitation:
Votre base de données:
Toutes
Livraison en TEST:
Livraison en PROD:

Description

Je viens de constater un gros problème de sécurité avec le système de workflow.

- Je crée une nouvelle entrée dans un workflow avec un utilisateur (USER_A appartenant au rôle ROLE_A).
- Sur le formulaire de création, USER_A choisi USER_B (appartenant au rôle ROLE_B) comme personne intervenant sur l'état suivant (STATE_1).
- Sur STATE_1, ne peut intervenir QUE l'utilisateur sélectionné précédemment (ici USER_B).
- Une notification part vers USER_B qui clique sur le lien de la notification.
- Si je me connecte avec n'importe quel utilisateur déclaré dans un n'importe quel rôle du workflow, j'accède aux informations de l'entrée créée ci-dessus! Je ne peux faire aucune action (ce qui est un moindre mal), mais j'accède a des informations auxquelles je ne devrait pas avoir droit!
- Cependant, si je reviens à la liste des entrées, l'entrée à laquelle j'ai eu accès via la notification n'apparait pas (normal!)

Autre problème, dans le lien de la notification du type:
http://monserveur/silverpeas/autoRedirect.jsp?domainId=0&goto=%2FRprocessManager%2FMONWORKFLOW7561%2FsearchResult%3FType%3DProcessInstance%26Id%3D9%26role%3DROLE_B
Si je change la valeur de l'ID, j'accède aux autres entrées du workflow qui ne me sont pas forcément accessibles/autorisées, voir même a des informations d'autres workflow!!!

Dans mon workflow, ça me pose de gros problème de confidentialité. D'où l'urgence.

Je suis à votre disposition pour toute informations complémentaires.

Actions #1

Updated by Nicolas Eysseric over 9 years ago

  • Status changed from New to Closed
  • Assignee set to Nicolas Eysseric
  • Target version set to Version 5.9
  • % Done changed from 0 to 100
  • Votre base de données changed from PostgreSQL to Toutes

Vérification ajoutée. Si l'utilisateur ne peut pas agir sur le dossier ni le consulter, il est redirigé vers la page principale de l'application.

Actions

Also available in: Atom PDF