Bug #3105
Accès au json d'un formdata trop permissif
Début:
21 juin 2013
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Non
Planning:
Non
Description
Actuellement, un utilisateur lambda peut voir l'export JSON d'une de ses demandes.
Or on y exporte, entre autres, le workflow_data. Ou aussi le statut actuel, même s'il doit être caché. Etc...
Je propose donc que l'accès JSON ne soit pas autorisé pour le demandeur, mais seulement un compte admin (et peut-être pour un utilisateur "receiver" ?... bof).
Historique
Mis à jour par Frédéric Péters il y a environ 7 ans
- Assigné à
Frédéric Péterssupprimé - Patch proposed mis à Non
Mis à jour par Benjamin Dauvergne il y a environ 4 ans
- Statut changé de Nouveau à Information nécessaire
- Assigné à mis à Thomas Noël
L'impression que ce ticket n'est plus vrai.
Mis à jour par Thomas Noël il y a environ 4 ans
- Statut changé de Information nécessaire à Rejeté
Ouaich