Bug #3133
ferméURGENT: Problème de sécurité (confidentialité des informations)
100%
Description
Je viens de constater un gros problème de sécurité avec le système de workflow.
- Je crée une nouvelle entrée dans un workflow avec un utilisateur (USER_A appartenant au rôle ROLE_A).
- Sur le formulaire de création, USER_A choisi USER_B (appartenant au rôle ROLE_B) comme personne intervenant sur l'état suivant (STATE_1).
- Sur STATE_1, ne peut intervenir QUE l'utilisateur sélectionné précédemment (ici USER_B).
- Une notification part vers USER_B qui clique sur le lien de la notification.
- Si je me connecte avec n'importe quel utilisateur déclaré dans un n'importe quel rôle du workflow, j'accède aux informations de l'entrée créée ci-dessus! Je ne peux faire aucune action (ce qui est un moindre mal), mais j'accède a des informations auxquelles je ne devrait pas avoir droit!
- Cependant, si je reviens à la liste des entrées, l'entrée à laquelle j'ai eu accès via la notification n'apparait pas (normal!)
Autre problème, dans le lien de la notification du type:
http://monserveur/silverpeas/autoRedirect.jsp?domainId=0&goto=%2FRprocessManager%2FMONWORKFLOW7561%2FsearchResult%3FType%3DProcessInstance%26Id%3D9%26role%3DROLE_B
Si je change la valeur de l'ID, j'accède aux autres entrées du workflow qui ne me sont pas forcément accessibles/autorisées, voir même a des informations d'autres workflow!!!
Dans mon workflow, ça me pose de gros problème de confidentialité. D'où l'urgence.
Je suis à votre disposition pour toute informations complémentaires.
Mis à jour par Nicolas Eysseric il y a plus de 12 ans
- Statut changé de New à Closed
- Assigné à mis à Nicolas Eysseric
- Version cible mis à Version 5.9
- % réalisé changé de 0 à 100
- Votre base de données changé de PostgreSQL à Toutes
Vérification ajoutée. Si l'utilisateur ne peut pas agir sur le dossier ni le consulter, il est redirigé vers la page principale de l'application.