[Corrigé 3.1.40] Les techniciens peuvent tout voir.

Vous avez trouvé un bug dans l'application (dernière version stable ou bêta): Décrivez le ici afin que la correction soit intégrée a la prochaine version.
Répondre
CSTJ
Gsup LEVEL 0
Messages : 7
Enregistré le : jeu. 23 mars 2017 14:18

Bonjour,

Mes techniciens n'ont pas accès à tous les billets, seulement les leurs (Section "Vos Tickets").

Par contre, si je copie/colle le URL complet de la section "Tous les Tickets" via un compte admin sur la session d'un technicien, il tombe sur la page "Tous les tickets" et peut donc tout voir...
Et puis je me demande pourquoi Gestsup utilise $_GET ou lieu de $_POST pour justement éviter ce genre de problème très facilement exploitable.

Pareil pour l'icône "Activité" qui liste les billets qu'ils ne sont pas supposé voir.

Merci.
Modifié en dernier par CSTJ le mar. 2 avr. 2019 17:20, modifié 1 fois.
Avatar du membre
Flox
Administrateur du site
Messages : 8973
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

pouvez vous préciser la version utilisée et reproduire la configuration sur la webdemo pour observer le problème.

Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.58 | MariaDB: 11.3.2 | PHP: 8.3.4 | https://doc.gestsup.fr/
CSTJ
Gsup LEVEL 0
Messages : 7
Enregistré le : jeu. 23 mars 2017 14:18

Je n'y avait pas pensé, mais la démo roule en 3.1.39 et moi en 3.1.35.

La démo semble afficher le bon correctement, je vais mettre à jour ma version.
Merci et désolé du dérangement ;)
Avatar du membre
Flox
Administrateur du site
Messages : 8973
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

Je ne pense pas qu'il s'agisse plutôt d'un problème de paramétrage.

Essayé de mettre a jour dans la dernière version stable, si le problème se reproduis il faudra détaillé les droits que vous avez modifié.

Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.58 | MariaDB: 11.3.2 | PHP: 8.3.4 | https://doc.gestsup.fr/
CSTJ
Gsup LEVEL 0
Messages : 7
Enregistré le : jeu. 23 mars 2017 14:18

Edited: pas totalement

:oops:
Avatar du membre
Flox
Administrateur du site
Messages : 8973
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

merci pour votre analyse pouvez vous tester d'appliquer le patch en pièce jointe sur votre version 3.1.37.

Cdt
Fichiers joints
patch_pour_3.1.37.zip
(12.33 Kio) Téléchargé 277 fois
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.58 | MariaDB: 11.3.2 | PHP: 8.3.4 | https://doc.gestsup.fr/
CSTJ
Gsup LEVEL 0
Messages : 7
Enregistré le : jeu. 23 mars 2017 14:18

Cette patch semble fonctionner pour empêcher les utilisateurs de changer le userID pour voir les billets des autres.
Gros merci pour ce support plus que rapide!
Avatar du membre
Flox
Administrateur du site
Messages : 8973
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

pouvez-vous reproduire le problème sur la webdemo et nous indiquer les étapes, car de mon côté je ne note pas de dysfonctionnement.

Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.58 | MariaDB: 11.3.2 | PHP: 8.3.4 | https://doc.gestsup.fr/
Avatar du membre
Flox
Administrateur du site
Messages : 8973
Enregistré le : jeu. 21 juin 2012 19:00

Bonjour,

Pouvez vous indiquer les étapes pour reproduire le problème sur la webdemo.

Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.58 | MariaDB: 11.3.2 | PHP: 8.3.4 | https://doc.gestsup.fr/
Répondre