Possibilité de voir un ticket d'un autre service via modification de l'URL.

Vous avez trouvé un bug dans l'application (dernière version stable ou bêta): Décrivez le ici afin que la correction soit intégrée a la prochaine version.
Répondre
nicoud
Gsup LEVEL 0
Messages : 9
Enregistré le : mar. 17 sept. 2024 04:32

Bonjour,

J'ai un technicien technicien_IT qui fait parti du service IT.
J'ai un technicien technicien_RH qui fait parti du service RH.

J'ai des tickets avec des catégories qui sont automatiquement associés à des groupes et les groupes à des services (IT ==> IT et RH ==> RH).
J'ai activé les options dans les droits pour que les tickets entre les services soient totalement isolés, j'ai désactivé la vue 'side' de tous les tickets de manière à conserver uniquement ceux de l'utilisateur et de son groupe (IT ou RH).

Lorsque je prends un ticket du service IT que j'ouvre, il me suffit de récupérer son ID dans l'URL, le copier, ouvrir un autre ticket avec mon compte du service RH puis modifier l'ID du ticket par celui de service IT et je peux voir et modifier le ticket...

Cdt,
Avatar du membre
Flox
Administrateur du site
Messages : 9417
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

Pouvez reproduire le bug sur la démo ?

Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
nicoud
Gsup LEVEL 0
Messages : 9
Enregistré le : mar. 17 sept. 2024 04:32

Bonjour,

Je viens de reproduire le problème à l'instant sur votre serveur démo.
J'ai créé un service info et compta, un techi info et un tech compta.
Créé un ticket pour chaque utilisateur avec une association automatique en fonction de la catégorie.
J'ai par la suite autorisé l'affichage du champ service dans le ticket et j'ai correctement affecté le ticket à chaque service.
Je peux librement passer du ticket ID 7 à 8 peu importe mon service.

Cdt,
nicoud
Gsup LEVEL 0
Messages : 9
Enregistré le : mar. 17 sept. 2024 04:32

Bonjour,

Pour information, après avoir approfondi la documentation est les droits un autre bug ressort.
Apparemment le cloisonnement des catégories en fonction des services n'est pas fonctionnel malgré l'action de l'option dans les paramètres et l'application des droits dans la liste.
Et j'ai reproduis ce bug en demo. Un utilisateur qui est affecté au service informatique peut voir une catégorie affecté au service comptabilité.
J'ai activé l'option dans les paramètres et activé aussi le cloisonnement dans les droits.
Répondre