J’ai mis une nouvelle version demo sur le site dolibarr.fr
Cette demo vient de subir un changement de mot de passe de l’admin et de l’utilisateur (user “demo” qui n’avait pas le droit de modifier ses infos)
cela vient du module “Adhérent”
Si un utilisateur à le droit de créer/modifier les adhérents, il peut associer un adhérent à un compte dolibarr (même un compte admin !)
Et ensuite modifier le mot de passe de l’adhérent, ce qui modifie le mot de passe de connexion du compte dolibarr,
Du coup un user peut facilement se connecter en administrateur !!!!!!
Laurent, peux-tu regarder rapidement ce problème ?
Pour ceux qui utilisent le module “Adhérent”, désactivez les droits :
Créer/modifier les adhérents
Creer/modifier ses propres infos adherents