HOR-1360 "CLONE - Penetration test >> Privilege Escalation" SOLVED

Issue: CLONE - Penetration test >> Privilege Escalation Cause: En el profile del usuario se puede asignar un valor al rol en un request POST Solution: - Se hizo un analisis de la propuesta sobre "separar los archivos", este punto no se realizo, en vez de esto se separo los request con un switch-case - Existe duplicidad de codigo en los files "usersAjax.php" y "ProcessMaker\BusinessModel\User.php", por lo que ahora en el file "usersAjax.php" se llama a los metodos "create y update" de la clase "ProcessMaker\BusinessModel\User.php" - No se hizo cambios en front-end
2016-07-06 12:57:59 -04:00
parent a023682fcc
commit 67a530e59e
6 changed files with 127 additions and 327 deletions
--- a/workflow/engine/templates/users/users.js
+++ b/workflow/engine/templates/users/users.js
@@ -1226,7 +1226,7 @@ function userFrmEditSubmit()
    Ext.getCmp("frmDetails").getForm().submit({
      url    : "usersAjax",
      params : {
-        action   : "saveUser",
+        action: __ACTION__,
        USR_UID  : USR_UID,
        USR_CITY : global.IS_UID
      },