You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

Pages: 1

#1 2023-08-14 15:08:00

belu33fr
Member
Registered: 2011-03-25
Posts: 145

[Bug V10.0.9] Choix des utilisateurs. Faille de sécurité

Bonjour à tous,

Bravo pour le gros travail de relooking et les nouvelles fonctions bien apréciables.
Je viens de détecter un comportement surprenant qui peut être limite de faille de sécurité.
J'ai deux arborescence A et B d'entites depuis le Root
J'ai 3 utilisateurs. Un superadmin (Adm) sur le root. un (UserA) sur l'arborescence A et l'autre (UserB) sur la branche B.

Si je me log en UserA ou en UserB, je ne peux voir respectivement que la branche A pour UserA et B pour UserB. Logique.

Si je me log en Adm, et que je suis sur l'entite racine, je vois dans les listes déroulantes permettant de selectionner un utilisateur, (demandeur dans un ticket par exemple), UserA et UserB. Logique
Si je me log en Admin mais que je me mets sur une entité de la branche A (peu importe la profondeur), je vois dans les listes déroulantes permettant de selectionner un utilisateur, UserA et UserB .... Pas logique. Je peux donc assigner un ticket de l'entité A à un utilisateur de l'entité B.....

SI besoin de plus d'infos

Bon courage

Offline

#2 2023-08-15 13:38:12

cconard96
Moderator
Registered: 2018-07-31
Posts: 2,429
Website

Re: [Bug V10.0.9] Choix des utilisateurs. Faille de sécurité

Je ne peux pas recréer le problème.

J'ai créé un utilisateur avec un profil uniquement sur une sous-entité spécifique.

Je me suis connecté en tant qu'administrateur et j'ai changé pour une sous-entité différente de celle sur laquelle j'ai donné un profil à l'autre utilisateur.

J'ai essayé d'affecter l'utilisateur à un nouveau ticket, mais l'utilisateur n'apparaît pas dans la liste, ce qui correspond au comportement attendu.

GLPI Collaborator and Plugin Developer.
My non-English comments are automated translations. Sorry for any confusion that causes.
Mes commentaires non anglais sont des traductions automatiques. Désolé pour toute confusion qui cause.
Mis comentarios que no están en inglés son traducciones automáticas. Perdón por cualquier confusión que cause.

Offline

#3 2023-08-17 17:19:51

belu33fr
Member
Registered: 2011-03-25
Posts: 145

Re: [Bug V10.0.9] Choix des utilisateurs. Faille de sécurité

Bonjour cconard96,

Merci pour ta réponse.
Effectivement, j'ai refait l'opération et je ne l'ai pas reproduit. Par contre, j'ai gardé une sauvegarde d'état. Je vais la remonter et je vais regardé pourquoi en repartant de zéro, cela ne se produit pas. Je te tiens au courant.

Offline

Pages: 1

Board footer

Powered by FluxBB