大佬们，这种场景是否属于越权操作？

我们有一个导出当前页面pdf表格的公用接口，处理逻辑就是把当前页面数据格式化传到后台，数据包含页面列表的表格头和行数据，然后在后台组成pdf表格最终导出，后台并没有任何的增删改查。
现在有两个角色：配置角色和业务角色，都可以调用这个接口，然后我登陆业务角色账号，调用这个接口，然后取出post请求的参数。然后登陆配置角色账号调用这个接口，拦截post请求，然后将业务角色的数据与配置角色的数据替换，最后导出的pdf是包含业务角色数据的表格。
这样属于越权操作吗？