dannebicque / intranetv3 Goto Github PK

Possibilité de switcher de police avec des options d'accessibilités.

Description

J'ai découvert une vulnérabilité dans l'application qui permet d'accéder à certaines ressources protégées, telles que les notes et les absences des étudiants, sans être authentifié avec le compte de l'utilisateur concerné. Il s'agit des ressources incluses dans intranetV3/src/Controller/ProfilEtudiantController.php notamment /notes, /apc_notes et /absences.

Étapes pour reproduire

1. Se connecter à son compte étudiant, par exemple en tant que John Doe (john.doe)
2. Accéder à l'URL suivante : /etudiant/profil/jane.smith/notes (ou autre endpoint)
3. Vous devriez être en mesure d'accéder à la ressource de cet autre étudiant sans avoir à vous connecter avec son compte.

Comportement attendu

• L'application doit refuser l'accès à une ressource d'un autre étudiant.

En outre, je me demande si l'accès à l'endpoint /actions pour les étudiants est intentionnel. Il semble qu'il soit destiné au personnel.

Error in Intranet V3

Symfony\Component\Security\Core\Exception\CustomUserMessageAuthenticationException in POST /fr/verouiller
Invalid username or password

View on Bugsnag

Stacktrace

src/Controller/SecurityController.php:186 - App\Controller\SecurityController::lock

View full stacktrace

Created by David Annebicque via Bugsnag

Le créneau de 8h30 n'apparait pas sur l'affichage des bornes.
Vérifier EDT étudiant.

La liste des alternants est toujours présente quelque soit le département sur lequel on est

Refaire le formulaire saisie des données par l'étudiant :

• Type wizard avec :

• Vérification des informations étudiantes (adresse, sécu...)

• Données entreprises

• Données tuteur

• Donnes stages

• Récap complet

• Validation des données en ligne/live

• Calcul du nombre de jour/semaine en live. Warning si différence entre calculé et saisie ? Pour gérer les cas particulier laisser saisie possible

• Gratification obligatoire si supérieur à 8 semaine sinon saisie libre possible.

• Validation/complétion adresses

• Possibilité de sauvegarder et quitter à chaque étape, de sauvegarder sans valider définitivement et de soumettre le formulaire.

Si affichage du semestre en cours avec le déroulant dans le bilan du semestre des étudiants, reprise des notes de la scolarité, donc possible écart avec le temps réel.

Ajouter l'année comme attribut d'un niveau pour la positionner au bon endroit.
Reprendre principe de RédigeTonBut

Si un étudiant est déjà dans la base, indiquer dans le bilan dans quel département pour faire le transfert.

Système d'écriture/lecture du fichier de configuration pour gérer le paramétrage apogée, celcat... + Détection si la clé n'est pas présente pour désactiver. Système de plugin?
Encodage des données sur le fichier yaml

L'export Excel ne fonctionne pas sur un nombre de niveau infini avec le serializer. Actuellement juste le premier niveau, et un enfant est accepté.

Remplacer l'export PDF (généré à partir de l'excel), par un export PDF généré avec DomPdf.

.

Depuis le prévisionnel dans le profil, possibilité d'afficher le service chronologique d'une matière donnée. Indiquer le total CM, TD, TP (en heure et en nb de séance)

Indiquer une liste plus précise des éléments importés.
Liste des étudiants csv ou apogée
Imports OMEGA

Ajouter le lien pour récupérer une fiche par stagiaire (modèle administration)
Export Excel en Admin non fonctionnel

Afficher les notes des semestres précédents (sur le BUT). Classement par UE ?

Pour chaque évaluation indiquer la présence ou non de -0.01. Idem lors du calcul de la sous-commission avec affiche des notes, étudiants et évaluations concernées.

Indiquer un taux de remplissage d'une évaluation (nombre de note !== -0.01 sur nb étudiant).

Ajouter sur une page la synthèse ?

Trier selon la date de création et ajouter DataTableType
Idem rattrapage, tris faux.

Error in Intranet V3

Doctrine\DBAL\Exception\DriverException in POST /fr/messagerie/envoyer
An exception occurred while executing 'INSERT INTO message (created, updated, sujet, message, important, etat, type_destinataires, type, expediteur_id) VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?)' with params ["2020-10-19 17:27:14.761680", "2020-10-19 17:27:14.761675", "Bonjour, je vous ai autoris\u00e9 \u00e0 saisir votre convention dans l'intranet sans avoir votre fiche que vous devez me remettre au plus vite. Cordialement,", "undefined", 0, "E", "", "e", 420]:

SQLSTATE[22001]: String data, right truncated: 1406 Data too long for column 'sujet' at row 1

View on Bugsnag

Stacktrace

src/Classes/MyMessagerie.php:284 - App\Classes\MyMessagerie::saveMessageDatabase
src/Classes/MyMessagerie.php:150 - App\Classes\MyMessagerie::sendToEtudiants
src/Classes/MyMessagerie.php:255 - App\Classes\MyMessagerie::sendToDestinataires
src/Controller/MessagerieController.php:207 - App\Controller\MessagerieController::sendMessage

View full stacktrace

Created by David Annebicque via Bugsnag

Afficher les matières suspendues dans le tableau de sous-commission (en couleur, ou un warning). Afficher aussi sur le PN ? ou dans la synthèse des notes.

Supprimer lien site université (exemple pour GEA) si vide.

• dans les listes d'étudiants (exports paramétrables), est-il possible d'ajouter une colonne contenant le login LDAP des étudiants
  messagerie :
• il manque le champ pour le destinataire lorsqu'on souhaite envoyer un mail aux enseignants
• plus compliqué, mais cela serait très pratique : ajouter la possibilité d'envoyer un message à tous les enseignants d'une matière donnée. Nous avons actuellement des listes de diffusion pour cet usage, mais leur maintenance est assez complexe, et elles ne fonctionnent que pour le département Info (basé sur le prévisionnel)

Ajouter la possibilité de faire un "Swipe" sur l'EDT en mode mobile (actuellement, juste un seul jour est accessible)

Error in Intranet V3

Symfony\Component\HttpKernel\Exception\ControllerDoesNotReturnResponseException in GET /fr/administration/semestre/export/definitif/manon.beal/8903
The controller must return a "Symfony\Component\HttpFoundation\Response" object but it returned null. Did you forget to add a return statement somewhere in your controller?

View on Bugsnag

Stacktrace

src/Controller/administration/SemestreExportController.php:80 - null

View full stacktrace

Created by David Annebicque via Bugsnag

La mise à jour des photos ne se fait pas. Les photos anciennes ne sont pas écrasées et remplacée lors de l'import d'un nouveau zip (? a confirmer). Et en tout cas le cache de Liip reste présent. A supprimer ?

Bloc d'ajout dupliqué après l'ajout d'un type ou d'un premier groupe

(Il me semble d'ailleurs qu'il y a un bug d'affichage pour nous dans "Préparer la sous-commission" une fois que l'on publie aux étudiants, les données par colonnes se décalent.) J'actualise le PV du Grand Jury dans la foulée.

Une fois validé et publié.

Mise en place d'un process de CI autour de GitHub Action ? A la place d'une solution TravisCI ?

L'affichage du bon jour sur l'EDT en mode responsive n'affiche rien si on est un samedi ou un dimanche. Devrait dans ce cas afficher le lundi suivant.

Modification des templates et calcul du jour suivant?

Lors d'une mise à jour du site RabbitMq ne récupère pas les droits pour s'executer.

Remettre la possibilité d'ajouter un vacataire sans accès URCA. Avec bouton pour initialiser le mot de passe. Du coup ajouter le bouton "mot de passe" perdu.

Ne fonctionne pas sur les affichages. Problème de gestion ensuite.

Error in Intranet V3

TypeError in GET /fr/change-departement/32000000-0000-0000-0000-000000000000
Argument 1 passed to Symfony\Bundle\FrameworkBundle\Controller\AbstractController::redirect() must be of the type string, null given, called in /var/www/html/intranetV3/src/Controller/SecurityController.php on line 208

View on Bugsnag

Stacktrace

src/Controller/SecurityController.php:208 - App\Controller\SecurityController::changeDepartement

View full stacktrace

Created by David Annebicque via Bugsnag

Sur le trombinoscope, afficher les informations importantes d'une étudiant dans une sidebar

Exemple en GEA le groupe options n'est pas séléctionné par défaut

Numéri de version à afficher.

Permettre l'ajout a des profs, des étudiants

Remettre en place le suivi de cohorte (modèle GEA?).
Importer les anciennes promos depuis intranetV2

Les PDF de l'EDT sont en lien et pas en download forcé. Les navigateurs peuvent donc proposer le cache et pas le bon doc.
Modifier la gestion. Proposer un export Zip.
Déporter la génération dans messenger.

Error in Intranet V3

Symfony\Component\Security\Core\Exception\AccessDeniedException in POST /fr/settings/change-annee-universitaire
Access Denied.

View on Bugsnag

Stacktrace

src/Controller/SettingsController.php:25 - App\Controller\SettingsController::changeAnneeUniversitaire

View full stacktrace

Created by David Annebicque via Bugsnag

Error in Intranet V3

Symfony\Component\HttpKernel\Exception\ControllerDoesNotReturnResponseException in POST /fr/application/personnel/salle-examen/application/salle-examen/genere/document
The controller must return a "Symfony\Component\HttpFoundation\Response" object but it returned null. Did you forget to add a return statement somewhere in your controller?

View on Bugsnag

Stacktrace

src/Controller/appPersonnel/SalleExamenController.php:81 - null

View full stacktrace

Created by David Annebicque via Bugsnag

Repositionner les liens utiles (ou ajouter) dans le menu haut (moodle, webmail, portfolio?)

Faire un mail lors de la suppression par un étudiant

Le prévisionnel ne s'affiche pas sur un profil d'un permanent.

Cette police d'icone pose problème avec IOS.
A remplacer par FontAwesome.

• Réduire taille de l'edt
• Accès justificatifs déposés dans admin. -> dans afficher les absences pouvoir avoir un indicateur si un justificatif existe (validé ou pas)
• Trombi -> filtres -> affiche tous les groupes (segmentation FC/FI) -> arrivée sur TD et pas grpe de langue => Permettre la configuration depuis le trombi
• Edt -> saisie des absences -> doit re-sélectionner le groupe concerné + heure de fin du cours non auto
• Filtrer les matières par rapport au semestre actif saisie des absences
• Saisie des abs pour les alternants -> get la durée du module dans celcat ou edt pour déclaration studea
• Feuilles de présence -> nom du fichier dl ne correspond pas au groupe sélectionné
• Justification d'abs en avance par le dir. d'études -> saisie de l'abs par enseignant justifiée automatiquement
• Est-ce que les infos saisies par les étudiants sur leur alternance sont gardées d'une année à l'autre ?
• Suivi des conv. de stage -> après envoi de convention pour signature -> date d'envoi et date de retour attendue (saisie par l'assistante) -> btn pour relance signature (enregistrement de la date de relance on clic). Sur le tableau de synthèse (sinon plus possible) => Accéder à la timeline plus rapidement sans entrer dans la fiche du stage (modal).
• Justification des absences par les étudiants -> formaté par choix d'un créneau de cours existant (peut-être depuis l'edt ?)
• Afficher le libellé matière dans liste des absences (sur profil) en tooltip
• page des stages liste déroulante avec les périodes plutôt que bouton
• page "liste des fiches de suivi de stage" pas de nom de l'étudiant qui s'affiche
• Bouton pour récupérer tous les PDF de fiches de suivi
• Motif de refus de justification d'absence
• Retrait des infos perso saisies pendant les demandes d'entrée sur site pdt la covid
• Avenants -> Modification des dates de stage dans la convention -> saisie d'un motif par l'assistant.e ? (prolongement de stage, modification de dates sans motif spécifique)
• Erreurs codes ressources dans l'EDT (saisie par bloc hebdomadaire)
• Pour les FC, Synthèse de semestre non visible dans le profil et alternance non visible
• Mail signature de la convention pas éditable en GEA