Silverpeas » Silverpeas Components » Process Manager

Je viens de constater un gros problème de sécurité avec le système de workflow.

- Je crée une nouvelle entrée dans un workflow avec un utilisateur (USER_A appartenant au rôle ROLE_A).
- Sur le formulaire de création, USER_A choisi USER_B (appartenant au rôle ROLE_B) comme personne intervenant sur l'état suivant (STATE_1).
- Sur STATE_1, ne peut intervenir QUE l'utilisateur sélectionné précédemment (ici USER_B).
- Une notification part vers USER_B qui clique sur le lien de la notification.
- Si je me connecte avec n'importe quel utilisateur déclaré dans un n'importe quel rôle du workflow, j'accède aux informations de l'entrée créée ci-dessus! Je ne peux faire aucune action (ce qui est un moindre mal), mais j'accède a des informations auxquelles je ne devrait pas avoir droit!
- Cependant, si je reviens à la liste des entrées, l'entrée à laquelle j'ai eu accès via la notification n'apparait pas (normal!)

Autre problème, dans le lien de la notification du type:
http://monserveur/silverpeas/autoRedirect.jsp?domainId=0&goto=%2FRprocessManager%2FMONWORKFLOW7561%2FsearchResult%3FType%3DProcessInstance%26Id%3D9%26role%3DROLE_B
Si je change la valeur de l'ID, j'accède aux autres entrées du workflow qui ne me sont pas forcément accessibles/autorisées, voir même a des informations d'autres workflow!!!

Dans mon workflow, ça me pose de gros problème de confidentialité. D'où l'urgence.

Je suis à votre disposition pour toute informations complémentaires.