Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

"Whitelist keys" не ограничивает достп к записям #22

Closed
Romich777 opened this issue Feb 1, 2018 · 6 comments
Closed
Assignees
Labels

Comments

@Romich777
Copy link

@Romich777 Romich777 commented Feb 1, 2018

Пользователь с правами "Whitelist keys" может просматривать все ключи!
Пользователь видит общее количество ключей
selection_001

И может их просмотреть по линках
http://redmine/project/keys/1/edit
http://redmine/project/keys/2/edit

@noshutdown-ru-user
Copy link
Member

@noshutdown-ru-user noshutdown-ru-user commented Feb 1, 2018

Можно выслать скриншот настроек роли для данного пользователя ?

@Romich777
Copy link
Author

@Romich777 Romich777 commented Feb 1, 2018

Активна только "Whitelist keys".
Redmine 3.4.3

@noshutdown-ru-user
Copy link
Member

@noshutdown-ru-user noshutdown-ru-user commented Feb 1, 2018

Действительно, постараемся исправить как можно скорее, не используйте пока WhiteList

@Romich777
Copy link
Author

@Romich777 Romich777 commented Feb 1, 2018

Если не активиорвать права из группы "Keys" - пользователю не доступна вкладка "Keys".

"Whitelist keys" открывает доступ только к разрешенным пользователю ключам проэкта ?
"Viewe keys" открывает доступ ко всем ключам проэкта.

Я правильно понимаю эти права роли ?

@noshutdown-ru-user
Copy link
Member

@noshutdown-ru-user noshutdown-ru-user commented Feb 1, 2018

Да, Viewe keys разрешает просматривать все ключи в проекте

mr-exz pushed a commit that referenced this issue Feb 2, 2018
@noshutdown-ru-user
Copy link
Member

@noshutdown-ru-user noshutdown-ru-user commented Feb 2, 2018

Спасибо что сообщили о данной уязвимости, просим протестировать https://github.com/noshutdown-ru/vault/tree/development

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
Projects
None yet
Linked pull requests

Successfully merging a pull request may close this issue.

None yet
2 participants