[Bug #1926] [contract] Wrong Rights Checked

classic Classic list List threaded Threaded
1 message Options
Reply | Threaded
Open this post in threaded view
|

[Bug #1926] [contract] Wrong Rights Checked

Doliforge
[Bug #1926] [contract] Wrong Rights Checked
Doliforge
Ce message ne s'affiche pas correctement?
mettez à jour vos préférences utilisateur.

[contract] Wrong Rights Checked

Dernières modifications

07/05/2015 17:39 (Europe/Paris)

merci pour le patch mais pour moi ça ne traite pas la question du second test :


En fait, je ne comprend pas l'intérêt de $object->statut == 0 ....

on doit pouvoir modifier les extrafields meme quand un contrat n'est plus en brouillon... Ou alors le sens sur champ statut m'échappe ?

Répondre

État

 Détails
Last Modified On:  07/05/2015 17:26 Submitted by:  damien clochard (daamien)
Submitted on:  06/05/2015 12:42 
Summary:  [contract] Wrong Rights Checked
Description:  Version 3.6, in contrat/fiche.php

Line 1140 is wrong :

if ($action == 'edit_extras' && $user->rights->commande->creer && GETPOST('attribute') == $key) {

the "commande->creer" right is checked but it should be "contract->creer" or "contrat->creer"

and also line 1153 :

if ($object->statut == 0 && $user->rights->commande->creer)

Again the "commande->creer" right is checked

And the statut check is not correct too : user should able to modify teh extra fields even if the contract is not in statut 'brouillon'
Step to reproduce bug:  
Detected in version:  3.6.2 Category:  Module: Contracts
Severity:  5 - Major OS Type/Version:  
PHP version:   Database type and version:  
 Etat
Status:  Open Assigned to:  HENRY Florian (fhenry)
Resolution:  Fixed 

Commentaires

damien clochard 07/05/2015 17:39

merci pour le patch mais pour moi ça ne traite pas la question du second test :


En fait, je ne comprend pas l'intérêt de $object->statut == 0 ....

on doit pouvoir modifier les extrafields meme quand un contrat n'est plus en brouillon... Ou alors le sens sur champ statut m'échappe ?
HENRY Florian 07/05/2015 17:26
https://github.com/Dolibarr/dolibarr/pull/2801


_______________________________________________
Dolibarr-bugtrack mailing list
[hidden email]
https://lists.nongnu.org/mailman/listinfo/dolibarr-bugtrack