Fallo al realizar autenticación con atributo no único

Descripción

Se detecta, que si se permite la autenticación para un atributo que pueden existir con el mismo valor para varios usuarios, al realizar la autenticación para uno de ellos, cuando me da la opción de seleccionar usuarios y elijo el otro, puedo suplantar su identidad, ya que me autentica con el otro usuario en vez del cual para el que ingresé la contraseña.

Se debrá reautenticar al los usuarios cuando se muestra la opción de seleccionar con que usuario reautenticarse.

Entorno

None

Cómo reproducirlo

(Se usa como ejemplo el DNI, pero es extrapolable a cualquier atributo)

  • Permitir autenticación por DNI

  • Permitir a los usuarios introducir cualquier DNI (hay 2 con el mismo DNI por ejemplo, 00000000A)

  • Todos sus demás datos son diferentes

  • Introduzco credenciales de uno de ellos, pero selecciono al otro

  • Entro con datos de otro usuario

Componentes

Responsable

Alejandro Palacios

Informador

Alejandro Palacios

Versiones corregidas

Versiones afectadas

Prioridad

Critical
Configure