Edit History

Calltek · March 4

Buenos días

Recientemente hemos descubierto un problema relacionado con la edición de pedidos por parte de los empleados.

Disponemos de un rol el cual solo tiene permisos de visualización de un pedido:

Pero vemos que a la hora de visualizar un pedido, este puede alterar el pedido, cambiando estado, productos, descuentos, direcciones...etc

Según parece la lógica por ejemplo que sigue la edición de producto es que si el pedido no está entregado se puede tanto editar cantidades como borrarlas.

src/PrestaShopBundle/Resources/views/Admin/Sell/Order/Order/Blocks/View/product.html.twig

Creo que aquí se deberia de tener en cuenta los permisos del empleado para poder modificar todos estos aspectos no?

Lo veis igual que yo o se me escapa algo?

Version de PS: 1.7.7.5

PD: He creado una issue en github explicando la situacion https://github.com/PrestaShop/PrestaShop/issues/38192

Calltek · March 4

Buenos días

Recientemente hemos descubierto un problema relacionado con la edición de pedidos por parte de los empleados.

Disponemos de un rol el cual solo tiene permisos de visualización de un pedido:

Pero vemos que a la hora de visualizar un pedido, este puede alterar el pedido, cambiando estado, productos, descuentos, direcciones...etc

Según parece la lógica por ejemplo que sigue la edición de producto es que si el pedido no está entregado se puede tanto editar cantidades como borrarlas.

src/PrestaShopBundle/Resources/views/Admin/Sell/Order/Order/Blocks/View/product.html.twig

Creo que aquí se deberia de tener en cuenta los permisos del empleado para poder modificar todos estos aspectos no?

Lo veis igual que yo o se me escapa algo?

Version de PS: 1.7.7.5

Calltek · March 4

Buenos días

Recientemente hemos descubierto un problema relacionado con la edición de pedidos por parte de los empleados.

Disponemos de un rol el cual solo tiene permisos de visualización de un pedido:

Pero vemos que a la hora de visualizar un pedido, este puede alterar el pedido, cambiando estado, productos, descuentos, direcciones...etc

Según parece la lógica por ejemplo que sigue la edición de producto es que si el pedido no está entregado se puede tanto editar cantidades como borrarlas.

src/PrestaShopBundle/Resources/views/Admin/Sell/Order/Order/Blocks/View/product.html.twig

Creo que aquí se deberia de tener en cuenta los permisos del empleado para poder modificar todos estos aspectos no?

Lo veis igual que yo o se me escapa algo?

Calltek · March 4

Buenos días

Recientemente hemos descubierto un problema relacionado con la edición de pedidos por parte de los empleados.

Disponemos de un rol el cual solo tiene permisos de visualización de un pedido:

Pero vemos que a la hora de visualizar un pedido, este puede alterar los productos de ese mismo pedido:

Según parece la lógica es que si el pedido no tiene factura generada se puede tanto editar cantidades, borrar, añadir...etc.

src/PrestaShopBundle/Resources/views/Admin/Sell/Order/Order/Blocks/View/product.html.twig

Entiendo que la factura se genera de forma automática y eso ya bloquea, al menos en la interfaz que el usuario pueda manipular las cantidades entre otras cosas, pero en nuestro caso al tratarse de un pedido B2B no generamos factura mediante Prestashop y esto hace que nuestros clientes puedan alterar los pedidos una vez realizados.

Creo que la comprobación de factura debería de estar ahí como lógica pero siendo una capa de seguridad adicional al sistema de permisos. Un usuario sin permisos de edición de pedido no debería de poder modificar un pedido.

Lo veis igual que yo o se me escapa algo?

Sign In

Edit History

Calltek

Calltek

Calltek

Calltek

Browse

Activity

Go back to prestashop.com