Accès aux ticket alors que l'utilisateur est cloisoné

Vous avez trouvé un bug dans l'application (dernière version stable ou bêta): Décrivez le ici afin que la correction soit intégrée a la prochaine version.
Répondre
sandre@global-is.be
Gsup LEVEL 0
Messages : 2
Enregistré le : ven. 30 avr. 2021 16:54

Bonjour,

Avec les profils superviseur & technique, on peut accéder à TOUT les tickets en changement simplement le numéro de ticket dans l'URL même si l’utilisateur est cloisonné

Les utilisateurs et utilisateurs avec pouvoir n'ont a priori pas ce problème

Merci pour votre retour rapide sur ce problème de sécurité

Bonne journée
Haut
Avatar du membre
Flox
Administrateur du site
Messages : 9605
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

merci de reproduire le problème sur la webdemo en vous basant sur un exemple.

Cdt
GestSup: 3.2.53 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3 | https://doc.gestsup.fr/
Haut
Répondre

Retourner vers « Bugtrack »