php · shopper/frameworkCrítico
shopper/framework: correção de autorização em configurações de equipe
Duas falhas de autorização em configurações de equipe permitiam que qualquer usuário autenticado do painel assumisse o sistema RBAC: Settings/Team/Index não tinha autorização mount(), e Settings/Team/RolePermission protegia ações de escrita na permissão read_only view_users.
O que mudou
Duas falhas de autorização em configurações de equipe permitiam que qualquer usuário autenticado do painel assumisse o sistema RBAC: Settings/Team/Index não tinha autorização mount(), e Settings/Team/RolePermission protegia ações de escrita na permissão read_only view_users. Corrigido na v2.8.0 exigindo manage_users para ambos.
Quem isso afeta
Todos os usuários de shopper/framework anteriores à v2.8.0.
O que fazer hoje
Atualize para v2.8.0 imediatamente via composer require shopper/admin:^2.8.
A esteira
Coletado→
Auditado→
Redigido→
Publicado