Projekt

Allgemein

Profil

Aktionen

GX-Bug #67531

offen

Admins können über Direkteingabe der URL Seiten im Gambio Admin aufrufen, für die sie keine Berechtigung haben| Admin access permission seems not check the current URL if you paste an URL

Von Alexandre Ataides vor mehr als 3 Jahren hinzugefügt. Vor 11 Monaten aktualisiert.

Status:
Anerkannt
Priorität:
Normal
Zugewiesen an:
-
Kategorie:
Adminbereich
Zielversion:
-
% erledigt:

0%

Geschätzter Aufwand:
Steps to reproduce:
Betroffene Versionen:
4.2.0.0, 4.2.0.1
Release Notes Langtext:

Beschreibung

If an admin user doesn't have access to a certain URL but he pastes the URL in the browser, it shows the page.

Steps:

  1. Create a new role
  2. Set the permissions to this role: Gambio Admin Web UI and Unknown modules
  3. Assign the the new role to the new user
  4. Access the admin with the new admin user
  5. Try to access this URL with the logged admin: yourshopdomain/admin/configuration.php?gID=17

Result: The user has access to this page while he shouldn't.
Expected: User has to be redirected to the shop page.


EDIT

additional info:

  • tested also in 4.3.1.0, in this version an error404 is displayed in the backend

Dateien

tested-with-4.3.1.0.JPG (66,1 KB) tested-with-4.3.1.0.JPG Ulrich Wenk, 19.11.2020 13:39

Aktionen #1

Von Ulrich Wenk vor mehr als 3 Jahren aktualisiert

Aktionen #2

Von Moritz Bunjes vor mehr als 2 Jahren aktualisiert

  • Zielversion 133 wurde gelöscht
Aktionen #3

Von Hilke Müller vor 11 Monaten aktualisiert

  • Thema wurde von Admin access permission seems not check the current URL if you paste an URL zu Admins können über Direkteingabe der URL Seiten im Gambio Admin aufrufen, für die sie keine Berechtigung haben| Admin access permission seems not check the current URL if you paste an URL geändert
Aktionen

Auch abrufbar als: Atom PDF