Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Kritická bezpečnostní chyba - reset hesla #349

Open
jahhoo opened this issue Mar 30, 2022 · 5 comments
Open

Kritická bezpečnostní chyba - reset hesla #349

jahhoo opened this issue Mar 30, 2022 · 5 comments
Assignees
@pavel-stastny @jahhoo
Labels
c::Security Cast - Security Done p::Critical ToTests

Comments

@jahhoo
Copy link
Collaborator

jahhoo commented Mar 30, 2022

Pokud zadám požadavek resetu hesla libovolného uživatele - API (forgot_pwd) mi vrátí token - který stačí zadat do url https://sdnnt-url.cz/sdnnt/pswd/TOKEN a přenastavím tak heslo jakémukoliv uživateli!
@jahhoo jahhoo added c::Security Cast - Security p::Critical labels Mar 30, 2022
@JanMeritus
Copy link
Contributor

@pavel-stastny @pavelkocourek toto je strasliva chyba, prosim OKAMZITE o hotfix a revizi bezpecnostnich vlastnosti aplikace

Verzi 1.04 nelze produkcne nasadit do probehnuti bezpecnostni revize cele aplikace (!)

@pavel-stastny
Copy link
Collaborator

@JanMeritus @jahhoo Bude připraven fix

@smallcubes
Copy link
Collaborator

smallcubes commented Mar 31, 2022
edited
Loading

@jahhoo @JanMeritus @pavel-stastny oprava v 1.0.4.1 je nasazená na sdnnt-test a sdnnt-prod

@JanMeritus
Copy link
Contributor

  • poprosim o popsani do dokumentace seznam endpointu na wiki, pristupy dle roli a security
  • dle vydavatele vsechny endpointy revidovany a zabezpeceny

@pavel-stastny pavel-stastny added this to the Verze 1.0.4.5 milestone Apr 19, 2022
@JanMeritus
Copy link
Contributor

@pavel-stastny prosim zde o potvrzeni ze revize probehla dle domluvy s @pavelkocourek

@pavel-stastny pavel-stastny removed this from the Verze 1.0.4.5 milestone Feb 26, 2024
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@pavel-stastny pavel-stastny

@jahhoo jahhoo

Labels
c::Security Cast - Security Done p::Critical ToTests
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
4 participants
@pavel-stastny @JanMeritus @jahhoo @smallcubes