Sélecteur de rubrique Ajax #3221

Closed
opened 9 years ago by CEric-fr · 2 comments
CEric-fr commented 9 years ago

Bonjour,

SPIP 3.0.16 de base sans aucun plugin.

Contrairement à ce qui est écrit en commentaire avant la fonction "selecteur_rubrique_ajax" :
" * la verification est faite a l'arrivee des donnees (Fil)", le déplacement d'un article par un administrateur restreint de sa rubrique vers une rubrique ou il n'a pas les droits est parfaitement fonctionnel, seul le déplacement d'une rubrique n'aboutit pas.

Conclusion : un administrateur restreint peut écrire des articles publiés partout !!!

On en parle aussi ici : http://core.spip.org/issues/2523

Seule solution pour éviter ce "bug de sécurité" : mettre "define('_SPIP_SELECT_RUBRIQUES',100000); /* mettre 100000 pour desactiver ajax */" dans "mes_options.php".

Bonjour, SPIP 3.0.16 de base sans aucun plugin. Contrairement à ce qui est écrit en commentaire avant la fonction "selecteur_rubrique_ajax" : " * la verification est faite a l'arrivee des donnees (Fil)", le déplacement d'un article par un administrateur restreint de sa rubrique vers une rubrique ou il n'a pas les droits est parfaitement fonctionnel, seul le déplacement d'une rubrique n'aboutit pas. Conclusion : *un administrateur restreint peut écrire des articles publiés partout !!!* On en parle aussi ici : http://core.spip.org/issues/2523 Seule solution pour éviter ce "bug _de sécurité_" : mettre "define('_SPIP_SELECT_RUBRIQUES',100000); /* mettre 100000 pour desactiver ajax */" dans "mes_options.php".
b_b commented 9 years ago
Owner

Merci pour le signalement, mais comme tu le dis le problème est déjà signalé dans #2523, du coup j'ai comme l'impression que ce ticket fait doublon, non ?

Merci pour le signalement, mais comme tu le dis le problème est déjà signalé dans #2523, du coup j'ai comme l'impression que ce ticket fait doublon, non ?
b_b commented 9 years ago
Owner

Doublon ou pas, le bug signalé ici est résolu par r21381 r21382 et r21383 :)
Statut changé à Fermé

Doublon ou pas, le bug signalé ici est résolu par r21381 r21382 et r21383 :) **Statut changé à Fermé**
Sign in to join this conversation.
No Milestone
No project
No Assignees
2 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.