fernando/luos
1
0
Fork 0
Code Releases Activity

HOR-1360 "CLONE - Penetration test >> Privilege Escalation" SOLVED

Browse Source 
Issue:
    CLONE - Penetration test >> Privilege Escalation
Cause:
    En el profile del usuario se puede asignar un valor al rol en un request POST
Solution:
    - Se hizo un analisis de la propuesta sobre "separar los archivos", este punto no se realizo, en vez de esto
      se separo los request con un switch-case
    - Existe duplicidad de codigo en los files "usersAjax.php" y "ProcessMaker\BusinessModel\User.php",
      por lo que ahora en el file "usersAjax.php" se llama a los metodos "create y update" de la clase "ProcessMaker\BusinessModel\User.php"
    - No se hizo cambios en front-end
This commit is contained in:
Victor Saisa Lopez
2016-07-06 12:57:59 -04:00
parent a023682fcc
commit 67a530e59e
6 changed files with 127 additions and 327 deletions
Download Patch File Download Diff File Expand all files Collapse all files

1
workflow/engine/methods/users/usersEdit.php
View File

@@ -43,6 +43,7 @@ $oHeadPublisher->assign('TIME_ZONE_DATA', array_map(function ($value) { return [
$oHeadPublisher->assign('__SYSTEM_UTC_TIME_ZONE__', (isset($_SESSION['__SYSTEM_UTC_TIME_ZONE__']) && $_SESSION['__SYSTEM_UTC_TIME_ZONE__'])? 1 : 0);
$oHeadPublisher->assign('EXPIRATION_DATE', (int)$expirationDate);
$oHeadPublisher->assign('LANGUAGE_MANAGEMENT', $languageManagement);
$oHeadPublisher->assign('__ACTION__', 'saveUser');
G::RenderPage( 'publish', 'extJs' );