Ein doch recht gravierender Bug wurde in der aktuellen Version 4.9.7 von CONTENIDO gefunden. Ich habe mir die Sache angeschaut und konnte die Bugmeldung im CONTENIDO-Forum bestätigen. Betroffen ist die Benutzerverwaltung des CONTENIDO-Backends, und hier im Besonderen die Rechteverwaltung der Backend-Nutzer.
CONTENIDO ist ja bereits seit langem mit einer granularen Rechteverwaltung ausgestattet, die einem Mandanten-Admin oder System-Admin (sysadmin) die Möglichkeit gibt Benutzern im Backend nur bestimmte Bereiche frei zu geben. Das geht im Content-Bereich bis hin zur einzelnen Kategorie, wobei die Artikel-bezogenen Rechte noch zusätzlich recht fein einzustellen sind.
Beim Umbau von Version 4.8 auf 4.9 hat sich aber gerade in diesen Bereichen ein eklatanter Bug eingeschlichen. Backend-Benutzer mit eingeschränkten Rechten, denen man die Möglichkeit geben möchte neue Backend-Benutzer anzulegen indem man Ihnen den entsprechenden Bereich im Backend „freischaltet“, können in Version 4.9 nicht nur sich selbst weitere Rechte geben, sondern auch neue Backend-Benutzer mit höheren Rechten als ihre eigenen anlegen.
Das geht zwar nicht soweit das besagter Benutzer sich, oder neuen Benutzern, die Rechte eines Admins oder Sysadmins zuweisen kann, insofern ist er an die Vorgabe gebunden, aber da er alle Bereiche und granularen Rechte ohne Einschränkung zuweisen kann, kann er nicht nur unerwünschte Einblicke ins System, sondern auch Zugriff auf alle Funktionen und Bereiche erhalten, die nicht explizit nochmals auf den Sysadmin oder Mandanten-Admin geprüft werden.
Dies ist sicherlich nicht so gewünscht und sollte hoffentlich, nein MUSS eigentlich, bis zum nächsten Release behoben sein.
CONTENIDO in Version 4.8 und unsere ConLite, die ja auf der 4.8 basiert, sind von diesem Bug nicht betroffen.
Es gibt dafür auch momentan keinen einfachen Workaround, so das man als Betreiber oder Administrator (admin, sysadmin) einer Seite mit eingeschränkten Benutzern darauf verzichten sollte diesen das Recht zum Anlegen und Bearbeiten von Backend-Benutzern zu geben, bzw. es ihnen momentan zu entziehen.
Den entsprechenden Post im Forum findet ihr hier