Erstellt vor 3 Jahren
Geschlossen vor 3 Jahren
#1808 closed Fehler (fixed)
Userlogin leakt in die Adminmasken
| Erstellt von: | s.schoeling@… | Verantwortlicher: | m.bunkus@… |
|---|---|---|---|
| Priorität: | normal | Meilenstein: | 2.7.0 |
| Komponente: | kivitendo ERP | Version: | 2.7.0 beta |
| Schweregrad: | kritisch | Stichworte: | Installation |
| Beobachter: | roman.karuschka@… |
Beschreibung
Szenario:
- Als User einloggen.
- Im gleichen Browser als Admin einloggen
- User editieren der nicht man selber ist
- Es wird die Usermaske zum eigenen User aufgemacht.
Problem ist, dass beim Cookie auswerten der User geladen wird, und aus Legacygründen form->{login} gesetzt wird. Das überschreibt potentiell CGI Variablen aus der Administration.
Änderungshistorie (2)
comment:1 Geändert vor 3 Jahren durch roman.karuschka@…
- Beobachter roman.karuschka@… hinzugefügt
comment:2 Geändert vor 3 Jahren durch s.schoeling@…
- Lösung auf fixed gesetzt
- Meilenstein auf 2.7.0 gesetzt
- Status von new nach closed geändert
Hinweis: Hilfe zur Verwendung von Tickets finden Sie in TracTickets.
Sollte mit 4531a6c712b2529a01f31ddde2ef4d7045d173c7 behoben sein. Muss noch durchgetestet werden.