.werks/6551

   1 Title: Fixed missing permission checking during "Discard changes"
   2 Level: 2
   3 Component: wato
   4 Class: fix
   5 Compatible: compat
   6 Edition: cre
   7 State: unknown
   8 Version: 1.6.0i1
   9 Date: 1536237858
  10
  11 Users with reduced privileges that have access to WATO e.g. for managing their
  12 own hosts in specific folders have access to the "Activate changes" page for
  13 activating their config changes. On that page there is a button "discard
  14 changes" which can be used to undo the configuration changes that have been
  15 made since the last activation.
  16
  17 A limitation of this feature is that it can only revert the whole configuration
  18 at all, not only the configuration made by this user. A permitted user would
  19 discard all changes, even the ones made by others in the moment he clicks on
  20 discard changes.
  21
  22 The activation mechanism is aware of the situation where others have made
  23 changes. Users that are not permitted to activate foreign changes are not
  24 able to activate their changes in this situation and get a warning message
  25 about this.
  26
  27 However, the discard changes action was missing such a check which allowed
  28 those users to discard the changes of others while they should not be allowed
  29 to do so.
  30
  31 The discard changes action is now using the same logic as the activate changes
  32 action for checking whether or not a user is allowed to do this.