[Corrigé 3.1.40] Les techniciens peuvent tout voir.

CSTJ · mar. 2 avr. 2019 16:37

Bonjour,

Mes techniciens n'ont pas accès à tous les billets, seulement les leurs (Section "Vos Tickets").

Par contre, si je copie/colle le URL complet de la section "Tous les Tickets" via un compte admin sur la session d'un technicien, il tombe sur la page "Tous les tickets" et peut donc tout voir...
Et puis je me demande pourquoi Gestsup utilise $_GET ou lieu de $_POST pour justement éviter ce genre de problème très facilement exploitable.

Pareil pour l'icône "Activité" qui liste les billets qu'ils ne sont pas supposé voir.

Merci.

mar. 2 avr. 2019 16:42

Bonjour,

pouvez vous préciser la version utilisée et reproduire la configuration sur la webdemo pour observer le problème.

Cdt

CSTJ · mar. 2 avr. 2019 16:54

Je n'y avait pas pensé, mais la démo roule en 3.1.39 et moi en 3.1.35.

La démo semble afficher le bon correctement, je vais mettre à jour ma version.
Merci et désolé du dérangement

mar. 2 avr. 2019 17:02

Bonjour,

Je ne pense pas qu'il s'agisse plutôt d'un problème de paramétrage.

Essayé de mettre a jour dans la dernière version stable, si le problème se reproduis il faudra détaillé les droits que vous avez modifié.

Cdt

CSTJ · mar. 2 avr. 2019 17:09

Edited: pas totalement

mar. 2 avr. 2019 17:49

Bonjour,

merci pour votre analyse pouvez vous tester d'appliquer le patch en pièce jointe sur votre version 3.1.37.

Cdt

CSTJ · mar. 2 avr. 2019 17:59

Cette patch semble fonctionner pour empêcher les utilisateurs de changer le userID pour voir les billets des autres.
Gros merci pour ce support plus que rapide!

lun. 27 mai 2019 11:25

Bonjour,

pouvez-vous reproduire le problème sur la webdemo et nous indiquer les étapes, car de mon côté je ne note pas de dysfonctionnement.

Cdt

sam. 22 juin 2019 00:22

Bonjour,

Pouvez vous indiquer les étapes pour reproduire le problème sur la webdemo.

Cdt