Skip to content

漏洞:其他部门可以新增管理员角色 #1538

New issue
New issue
Closed
Closed
漏洞:其他部门可以新增管理员角色#1538
@wushu037

Description

@wushu037
wushu037
opened on Aug 3, 2020
版本号:

2.2.1

问题描述:

下属部门可以新增管理员角色

截图&代码:

image

友情提示: 未按格式要求发帖,会直接删掉。

Activity

huyaru

huyaru commented on Aug 4, 2020

@huyaru
huyaru
on Aug 4, 2020

分配角色的权限,要给到管理员等高级管理级别,从而人为控制角色分配。如果把管理员角色特殊定义,会降低通用性。

lokbun

lokbun commented on Aug 4, 2020

@lokbun
lokbun
on Aug 4, 2020

分配角色的权限,要给到管理员等高级管理级别,从而人为控制角色分配。如果把管理员角色特殊定义,会降低通用性。

这个确实有漏洞,只要有部门管理权限就可以自己新建一个用户分配最高权限的角色,问题就是出在这里并没有获取部门角色而是获取全局角色。

wushu037
changed the title [-]缺陷:其他部门可以新增管理员角色[/-] [+]漏洞:其他部门可以新增管理员角色[/+] on Aug 4, 2020
zhangdaiscott

zhangdaiscott commented on Aug 5, 2020

@zhangdaiscott
zhangdaiscott
on Aug 5, 2020
Member

收录

GordonHuangYong

GordonHuangYong commented on Aug 12, 2020

@GordonHuangYong
GordonHuangYong
on Aug 12, 2020

我直接把这个字段隐藏了.部门管理员, 有部门角色就够了.没必要分配全局角色.

zhangdaiscott

zhangdaiscott commented on Aug 16, 2020

@zhangdaiscott
zhangdaiscott
on Aug 16, 2020
Member

已经处理,下个版本发布

zhangdaiscott
closed this as completedon Aug 16, 2020
mapleafly
mentioned this on Feb 27, 2022
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Type

    No type

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

      Development

      No branches or pull requests

        Participants

        @zhangdaiscott@lokbun@GordonHuangYong@huyaru@wushu037

        Issue actions
          漏洞:其他部门可以新增管理员角色 · Issue #1538 · jeecgboot/JeecgBoot