Rechteabfragen berücksichtigen nicht die Einrichtung

Für die Zugriffskontrolle wird überall im Code nur abgefragt, ob der Nutzer die Rolle "Stundenzettelverwaltung" in irgendeiner Einrichtung hat - damit darf man dann auf beliebige Stundenzettel und Verträge zugreifen. Für eine korrekte Rechteabfrage müßte die Rolle im Kontext der Einrichtung des Stundenzettels bzw. des Vertrags abgeprüft werden.

To upload designs, you'll need to enable LFS and have an admin enable hashed storage. More information