Kopieren von Eigenschaften trotz fehlender Benutzerrechte
Gerade heute gab es wieder zwei Fälle, wo Benutzer mit eingeschränkten Rechten, Zugriffe auf Eigenschaften bekommen haben, die sie im Normalfall nicht hätten. Hier die Vorgehensweise dabei konkret:
Die Benutzer haben keinen Zugriff auf das Hervorheben von Nachrichten.
- Benutzer legt eine Nachricht an und veröffentlicht diese.
- Admin aktiviert die Checkbox Hervorheben, weil Benutzer darauf keinen Zugriff hat und bekommen soll.
- Benutzer legt eine neue Nachricht an, d.h. eigentlich kopiert er die alte hervorgehobene Nachricht.
Beim Kopieren der alten Nachricht wurde auch die Hervorgehoben-Einstellung mitkopiert, womit der Benutzer zwar Hervorheben nicht bearbeiten kann, aber sich so eine hervorgehobene Nachricht verschafft hat. Das ist für mich ein Bug in Contao. Beim Kopieren von Nachrichten sollten doch wohl nur die Elemente kopiert werden, auf die der Benutzer Zugriff hat. Alle anderen gesperrten Elemente bekommen die Standardeinstellung. D. h. bei Hervorgehoben - nicht aktiviert.
Dieser Bug wird schon seit Contao 3 mitgeschleppt.