[Corrigé 3.0.8] un utilisateur peut changer le profil

Vous avez trouvé un bug dans l'application (dernière version stable ou bêta): Décrivez le ici afin que la correction soit intégrée a la prochaine version.
Répondre
fabrice
Gsup LEVEL 7
Messages : 371
Enregistré le : mar. 11 mars 2014 12:01

bonjour,
je viens de voir qu'un utilisateur peut en changeant l'url modifier un autre profil
ici sur le site DEMO l'utilisateur "user" à accès à "tech" qu'il change en technicien avec un nouveau mot de passe
cordialement
Fichiers joints
gestsup2.PNG
gestsup2.PNG (59.48 Kio) Vu 4470 fois
OS:Linuxgestsup4.15.0-213-generic#224-
MariaDB:10.4.31-MariaDB-1:10.4.31+maria~ubu1804(base:bsup5245.5Mo)
PHP:8.2.6(/etc/php/8.2/apache2/php.ini)
GestSup:3.2.52(28967tickets/1677utilisateurs/23équipements)
pedjcnnf
Gsup LEVEL 0
Messages : 4
Enregistré le : dim. 6 avr. 2014 14:24

Bonjour,

D'abbord, merci pour votre logiciel qui m'est très utile tous les jours!

Je viens aussi de me rendre compte que chaque utilisateur peut modifier le compte de n'importe qui : information ET mot de passe.
C'est assez embêtant car n'importe qui pourrait modifier mon compte admin, se loguer avec et mettre le bazard dans l'appli.

Pouvez-vous faire quelque chose? J'utilise la version 3.0.7.

Merci d'avance!
Debian 7.4 | Apache 2.2.22 | MySQL 5.5.35 | PHP 5.4.4-14 | Gestsup 3.0.10
Avatar du membre
Flox
Administrateur du site
Messages : 9436
Enregistré le : jeu. 21 juin 2012 19:00

Corrigé en 3.0.8
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
pedjcnnf
Gsup LEVEL 0
Messages : 4
Enregistré le : dim. 6 avr. 2014 14:24

Je vais tester la mise a jour!

Merci encore pour votre travail! :!:


Edit :
La 3.0.8 n'est pas encore disponible en fait :mrgreen: Vous avez une date de release prévue?
Merci :)

Edit 2 :
J'ai cette version en prod (c'est mal pour une beta je sais) et j'ai vu que des petits malins on fais des modifications sur les autres utilisateurs. J'ai été obligé de rétablir la table tusers pour retrouver mes bonnes informations. Du coup j'ai dû passer le site hors prod en attendant la version 3.0.8 :|
Debian 7.4 | Apache 2.2.22 | MySQL 5.5.35 | PHP 5.4.4-14 | Gestsup 3.0.10
Répondre