Dynamics CRM 365的共享级联漏洞

今天通过调试发现：

1.客户-联系人的共享级联=是，取消共享级联=是。

2.将【客户A】共享给【用户A】,则【用户A】就可以看到【客户A】下面的【联系人A】。

3.客户-联系人的共享级联=否，取消共享级联=否，这时候【用户A】还是可以看到【联系人A】。

4.将【客户A】取消共享给【用户A】,但是【用户A】还是可以看到【联系人A】。

 

因此过了一段时间，没人记得是否开启过级联，但是【用户A】能看到【联系人A】,大家觉得很疑惑。然后我们继续尝试：

 

5.客户-联系人的共享级联=是，取消共享级联=是。

6.将【客户A】共享给【用户A】,【用户A】可以看到【客户A】下面的【联系人A】。

7.将【客户A】取消共享给【用户A】,【用户A】终于看不到【联系人A】了。

 

个人觉得，当取消级联的时候，【用户A】就应该看不到【联系人A】了。

 

温馨提示：上述的前提条件，当然是客户和联系人的负责人都不是【用户A】,且【用户A】对两个实体的读权限都是1/4。