reactioncommerce/reaction

Surchages query missing permission validation

Open

#6634 aperta il 7 nov 2022

Vedi su GitHub
 (9 commenti) (0 reazioni) (1 assegnatario)JavaScript (2198 fork)batch import
buggood first issueneeds triage

Metriche repository

Star
 (12.181 star)
Metriche merge PR
 (Nessuna PR mergiata in 30 g)

Descrizione

Prerequisites

  • Are you running the latest version?
  • Are you able to consistently reproduce the issue?
  • Did you search the issue queue for existing issue? Search issues

Issue Description

The surcharges query in api-plugin-surcharges is missing the read permission validation. https://github.com/reactioncommerce/reaction/blob/b11e47f05a3d3042b76385e992960dfafb36a286/packages/api-plugin-surcharges/src/queries/surcharges.js#L15

This means every user can query the surcharges regardless the permission they have.

Possible Solution

An example of a query that has the desired permission validation. https://github.com/reactioncommerce/reaction/blob/b11e47f05a3d3042b76385e992960dfafb36a286/packages/api-plugin-accounts/src/queries/groups.js#L14

Guida contributor

Direzione di ricerca
Confronta la query surcharges con la query groups in api plugin accounts per comprendere il modello di validazione delle autorizzazioni. Implementa il controllo delle autorizzazioni `read` mancante nella query surcharges.
Tech stack
javascriptnodejsgraphql
Dominio
backendsecurity
Tipo issue
Bug
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
2
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
1-3 ore
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
Attiva
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
Chiara
Prerequisiti
Node.jsGraphQL
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
70