Adempiere3.6又发现新漏洞，还很严重！！

db0468 · 发表于 2012/5/26 21:51:59

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。如果您注册时有任何问题请联系客服QQ： 83569622 　。

您需要登录才可以下载或查看，没有帐号？注册

x

本帖最后由 db0468 于 2012/5/26 22:28 编辑

当管理员对其中一个角色的产品信息权限设为只读时，该角色用客户端程序进入没有问题，产品信息是只读的。如果这个角色的用户是用ADempiere ZK webUI 界面登录的，则产品信息只读限制无效，该用户可任意关闭产品信息，也可任意发布产品到网上商店，限制权限对该用户无效，这个是不是可以算是个大漏洞呢？

我觉得这样是不安全的，如果管理员对某远程用户的产品信息权限是设为只读的，要给远程用户提供一个下载客户端的页面 http://ip/admin ,那么这个远程用户果直接下载客户端就没有问题。可是，如果他直接进入ADempiere ZK webUI，他可以用相同的用户名、密码登入，那不就乱了吗？如果该用户是不该有产品设置权限的，这该怎样解决？

pshen · 发表于 2012/5/28 09:50:57

你重起下Adempiere Server，看看web UI的问题，是不是因为缓存的原因。
如果不是，建议report 一个bug
网址如下：
https://adempiere.atlassian.net/

db0468 · 发表于 2012/5/28 18:00:58

应该IE的问题，第二天正常了。

pshen · 发表于 2012/5/29 13:05:28

应该是Server端Cache

db0468 · 发表于 2012/5/29 22:32:19

{:soso_e183:}谢了！！

社区人物壹佰网重点话题	分享知识原创连载活动正式启动已有673人参加查看全部会员靓照旅行分享文学连载	壹佰读书会开始招收成员了
招聘求职壹佰网信息化选型平台	倾听用户的心声纵横四海谈IT如何提升企业管理管理小说连载《苏州桥》	如何获取努力值
原创连载－我来管管看 ERP分享+	推荐连载：[已结帖][分享知识原创连载]财务供应链项目新手实施手记：记录自己正	入门学习-致所有初学者

帐号		自动登录	找回密码
密码			注册

Adempiere3.6又发现新漏洞，还很严重！！

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。如果您注册时有任何问题请联系客服QQ： 83569622 。

浏览过的版块

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。如果您注册时有任何问题请联系客服QQ： 83569622 　。