Bonjour,
j’utilise la dernière version de Dolibarr, 6.05
j’ai noté un soucis de sécurité que je qualifierais de majeur :
je crée un UTILISATEUR EXTERNE : droits : facture clients uniquement (donc à priori les siennes)
je m’identifie en tant que cet utilisateur. Je vais sur mon tableau de bord
(bon je passe ici que je vois dans les WIDGET tout le contenu que je ne « devrais pas voir » mais bon, c’est pas cela le « bug »)
je vais dans COMPTA TRESO
je vois que les factures de mon tiers TEST (normal)
je clique sur une facture, elle s’affiche
je clique sur le PDF de la facture, il s’affiche
je change l’URL (manuellement, l’URL qui est celle qui pointe vers le PDF) du PDF… et n’importe quelle facture peut s’afficher…
en clair : mon client TEST a accès à l’intégralité de mes factures, dès lors qu’il change manuellement l’url qui « pointe » vers les PDF (qu’il voit déjà).
malheureusement, je dois en conclure que les utilisateurs ne peuvent pas encore avoir accès à leurs factures dans un intranet… ce qui est très dommage