Neu 1.6.40.0 Kritische Sicherheitslücke Fehlerhafte Rechtevergabe Zugriff auf sensible Daten ohne Berechtigung möglich

[DJScyper]

Probier dahingehend mal bitte die Sharp-Wawi. Damit ist in meinem Testsystem ohne entsprechendes Recht nicht mal mehr die Kachel für Zahlungen anklickbar.

Ja gut, damit kann man natürlich versuchen den "dummen" User zu umgehen. Aber sobald er die normale JTL Wawi exe startet kommt er an die Daten. Außerdem dachte ich die Sharp Wawi ist noch nicht ausgereift und fertig.

 

[Enrico W.]

Die Funktionen, die noch angepasst werden müssen, dürften kaum ins Gewicht fallen, insbesondere für die "dummen" User, die nur sehr eingeschränkte Rechte benötigen, weil sie nur ganz bestimmte Aufgaben haben. Ob alles, was der benötigt, da ist, kannst Du ganz schnell selbst prüfen. Und die normale Wawi.exe kann man auf den betreffenden Systemen einfach löschen und schon kann man sie nicht starten.
Das ist nunmal die schnellste Lösung für Euer Problem.

 

[DJScyper]

@Enrico W. Also jetzt bin ich baff, selbst in der Sharp Wawi hat der Benutzer die Rechte. Bei mir auch klickbar. Kann vielleicht jemand anderes bei sich mal prüfen ob das möglich ist oder nicht?

 

[Enrico W.]

In welcher Version bist Du? Welche Rechte sind sonst noch gesetzt?

 

[DJScyper]

Bin in Version 1.7.8.3 und folgende Rechte sind gesetzt:

 

[Enrico W.]

Das ist merkwürdig. Der Screenshot hier ist aus der 1.7.11.1:
Man sieht hier sehr schön, welche Bereiche freigegeben sind und welche nicht.

 

[mh1]

Bin in Version 1.7.8.3 und folgende Rechte sind gesetzt:

Den Anhang 100177 betrachten

In der Kategorie "Menüs" ist ja irgendwas aktiviert. Deaktiviere das mal.
Tut es dann wie gewünscht?

 

[AnjaM]

Update der Wawi hat für die Sharp-Wawi wohl geholfen; es ist folgendes Ticket angelegt worden: https://issues.jtl-software.de/issues/WAWI-66296
Ein interner Kommentar, dass dies nicht bei allen Datenbanken nachstellbar ist, wurde hinterlegt.