Page 1 sur 1

Possibilité de voir un ticket d'un autre service via modification de l'URL.

Posté : lun. 28 oct. 2024 09:16
par nicoud
Bonjour,

J'ai un technicien technicien_IT qui fait parti du service IT.
J'ai un technicien technicien_RH qui fait parti du service RH.

J'ai des tickets avec des catégories qui sont automatiquement associés à des groupes et les groupes à des services (IT ==> IT et RH ==> RH).
J'ai activé les options dans les droits pour que les tickets entre les services soient totalement isolés, j'ai désactivé la vue 'side' de tous les tickets de manière à conserver uniquement ceux de l'utilisateur et de son groupe (IT ou RH).

Lorsque je prends un ticket du service IT que j'ouvre, il me suffit de récupérer son ID dans l'URL, le copier, ouvrir un autre ticket avec mon compte du service RH puis modifier l'ID du ticket par celui de service IT et je peux voir et modifier le ticket...

Cdt,

Re: Possibilité de voir un ticket d'un autre service via modification de l'URL.

Posté : mar. 29 oct. 2024 11:24
par Flox
Bonjour,

Pouvez reproduire le bug sur la démo ?

Cdt

Re: Possibilité de voir un ticket d'un autre service via modification de l'URL.

Posté : mer. 30 oct. 2024 04:16
par nicoud
Bonjour,

Je viens de reproduire le problème à l'instant sur votre serveur démo.
J'ai créé un service info et compta, un techi info et un tech compta.
Créé un ticket pour chaque utilisateur avec une association automatique en fonction de la catégorie.
J'ai par la suite autorisé l'affichage du champ service dans le ticket et j'ai correctement affecté le ticket à chaque service.
Je peux librement passer du ticket ID 7 à 8 peu importe mon service.

Cdt,

Re: Possibilité de voir un ticket d'un autre service via modification de l'URL.

Posté : jeu. 21 nov. 2024 00:07
par nicoud
Bonjour,

Pour information, après avoir approfondi la documentation est les droits un autre bug ressort.
Apparemment le cloisonnement des catégories en fonction des services n'est pas fonctionnel malgré l'action de l'option dans les paramètres et l'application des droits dans la liste.
Et j'ai reproduis ce bug en demo. Un utilisateur qui est affecté au service informatique peut voir une catégorie affecté au service comptabilité.
J'ai activé l'option dans les paramètres et activé aussi le cloisonnement dans les droits.