"Whitelist keys" не ограничивает достп к записям

[Romich777]

Пользователь с правами "Whitelist keys" может просматривать все ключи!
Пользователь видит общее количество ключей

И может их просмотреть по линках
http://redmine/project/keys/1/edit
http://redmine/project/keys/2/edit

[noshutdown-ru-user]

Можно выслать скриншот настроек роли для данного пользователя ?

[Romich777]

Активна только "Whitelist keys".
Redmine 3.4.3

[noshutdown-ru-user]

Действительно, постараемся исправить как можно скорее, не используйте пока WhiteList

[Romich777]

Если не активиорвать права из группы "Keys" - пользователю не доступна вкладка "Keys".

"Whitelist keys" открывает доступ только к разрешенным пользователю ключам проэкта ?
"Viewe keys" открывает доступ ко всем ключам проэкта.

Я правильно понимаю эти права роли ?

[noshutdown-ru-user]

Да, Viewe keys разрешает просматривать все ключи в проекте

[noshutdown-ru-user]

Спасибо что сообщили о данной уязвимости, просим протестировать https://github.com/noshutdown-ru/vault/tree/development