Projekt

Allgemein

Profil

Aktionen
Link kopieren

GX-Bug #67531

offen

Admins können über Direkteingabe der URL Seiten im Gambio Admin aufrufen, für die sie keine Berechtigung haben| Admin access permission seems not check the current URL if you paste an URL

Von Alexandre Ataides vor etwa 4 Jahren hinzugefügt. Vor mehr als 1 Jahr aktualisiert.

Status:
Anerkannt
Priorität:
Normal
Zugewiesen an:
-
Kategorie:
Adminbereich
Zielversion:
-
% erledigt:

0%

Geschätzter Aufwand:
Steps to reproduce:
Betroffene Versionen:
4.2.0.0, 4.2.0.1
Release Notes Langtext:

Beschreibung

If an admin user doesn't have access to a certain URL but he pastes the URL in the browser, it shows the page.

Steps:

  1. Create a new role
  2. Set the permissions to this role: Gambio Admin Web UI and Unknown modules
  3. Assign the the new role to the new user
  4. Access the admin with the new admin user
  5. Try to access this URL with the logged admin: yourshopdomain/admin/configuration.php?gID=17

Result: The user has access to this page while he shouldn't.
Expected: User has to be redirected to the shop page.

EDIT

additional info:

  • tested also in 4.3.1.0, in this version an error404 is displayed in the backend

Dateien

tested-with-4.3.1.0.JPG (66,1 KB) tested-with-4.3.1.0.JPG Ulrich Wenk, 19.11.2020 13:39
Aktionen
Link kopieren

Auch abrufbar als: Atom PDF