01. DADOS GERAIS
| Produto: | TOTVS RH |
|---|---|
| Linha de Produto: | Linha Datasul |
| Segmento: | RH |
| Módulo: | TOTVS RH (Linha Datasul) - Meu RH |
| Função: | Home |
| País: | Brasil |
| Ticket: | 22330826 |
| Requisito/Story/Issue (informe o requisito relacionado) : |
02. SITUAÇÃO/REQUISITO
Foi identificada uma falha de segurança na aplicação: mesmo sem possuir a permissão específica para o programa mfp.SearchEmployee, o colaborador conseguia acessar indevidamente os dados por meio da requisição GET team/employees/find/.
03. SOLUÇÃO
A origem do problema estava na procedure getEmployeesInfo, localizada no arquivo team.p, que realizava apenas uma validação genérica de permissão através da procedure hasPermission. Essa validação verificava se o usuário possuía permissão para gerenciar subordinados, mas não considerava a permissão específica mfp.SearchEmployee.
A lógica de verificação foi ajustada para validar corretamente a permissão específica antes de permitir o acesso aos dados.
Adicionalmente, foi corrigida uma quebra de layout que ocorria na tela de busca de colaboradores, garantindo melhor usabilidade e apresentação da interface.
04. DEMAIS INFORMAÇÕES
Será liberado oficialmente na console do dia 11/08/2025 para as versões: 12.1.2411.13, 12.1.2503.8 e 12.1.2507.2
05. ASSUNTOS RELACIONADOS
- Não se aplica
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas