Empleados sin permisos pueden editar pedidos

[Calltek]

Buenos días

Recientemente hemos descubierto un problema relacionado con la edición de pedidos por parte de los empleados.

Disponemos de un rol el cual solo tiene permisos de visualización de un pedido:

 

 

Pero vemos que a la hora de visualizar un pedido, este puede alterar el pedido, cambiando estado, productos, descuentos, direcciones...etc

 

Según parece la lógica por ejemplo que sigue la edición de producto es que si el pedido no está entregado se puede tanto editar cantidades como borrarlas.

src/PrestaShopBundle/Resources/views/Admin/Sell/Order/Order/Blocks/View/product.html.twig

 

Creo que aquí se deberia de tener en cuenta los permisos del empleado para poder modificar todos estos aspectos no?

Lo veis igual que yo o se me escapa algo?

Version de PS: 1.7.7.5

 

PD: He creado una issue en github explicando la situacion https://github.com/PrestaShop/PrestaShop/issues/38192

 

Edited March 4 by Calltek (see edit history)

[Calltek]

Aquí explican un poco los bloques de esta vista pero no dicen nada de permisos: https://devdocs.prestashop-project.org/8/development/page-reference/back-office/order/view-order/

[Knowband Plugins]

No tienen restricciones en la vista. Podrás ver las acciones como Cambiar estado de pedido y Aplicar descuento, pero no podrás realizar ninguna acción. 

¿Puedes realizar las acciones también?

[Calltek]

  On 3/4/2025 at 2:31 PM, Knowband Plugins said:

No tienen restricciones en la vista. Podrás ver las acciones como Cambiar estado de pedido y Aplicar descuento, pero no podrás realizar ninguna acción. 

¿Puedes realizar las acciones también?

Expand  

Se puede si