Всем доброго времени суток. Сегодня увидел новый плагин "Вход в личный кабинет", зайдя и прочитав описание я сразу понял, что этот плагин позволяет залогиниться под любой учётной записью.Теперь каждый менеджер, у которого есть минимальный доступ к приложению Магазин, может авторизоваться как админ и сделать с проектом что хочет. Для переавторизации достаточно перейти по специальной ссылке с идентификатором контакта....
Думаю стоит присмотреться к данному функционалу, т.к. у покупателей плагина могут возникнуть проблемы из-за таких инцидентов с нелегальными авторизациями.
6 комментариев
Так надо было https://www.webasyst.ru/store/plugin/contacts/pass... ставить ))) там таких проблем нет )))
Твой я тоже разбирал.... доступ не всегда есть и палевно с твоим работать...
Фу, противный, лови минуса )))))
Да уж.... При таком раскладе когда появится критическая уязвимость я не буду писать, чтобы не минусовали.
Спасибо! Отправили сообщение разработчику плагина.
Думаю там стоит сделать проверку, что покупатель не является пользователем бекенда.