search

noshutdown-ru / vault

Is a plugin for project management system Redmine. Allows you to store various passwords/keys in one place for the project.
https://noshutdown.ru/en/redmine-plugins-vault
46 stars 29 forks source link

"Whitelist keys" не ограничивает достп к записям #22

Closed Romich777 closed 6 years ago

Romich777 commented 6 years ago

Пользователь с правами "Whitelist keys" может просматривать все ключи! Пользователь видит общее количество ключей selection_001

И может их просмотреть по линках http://redmine/project/keys/1/edit http://redmine/project/keys/2/edit

noshutdown-ru-user commented 6 years ago

Можно выслать скриншот настроек роли для данного пользователя ?

Romich777 commented 6 years ago

Активна только "Whitelist keys". Redmine 3.4.3

noshutdown-ru-user commented 6 years ago

Действительно, постараемся исправить как можно скорее, не используйте пока WhiteList

Romich777 commented 6 years ago

Если не активиорвать права из группы "Keys" - пользователю не доступна вкладка "Keys".

"Whitelist keys" открывает доступ только к разрешенным пользователю ключам проэкта ? "Viewe keys" открывает доступ ко всем ключам проэкта.

Я правильно понимаю эти права роли ?

noshutdown-ru-user commented 6 years ago

Да, Viewe keys разрешает просматривать все ключи в проекте

noshutdown-ru-user commented 6 years ago

Спасибо что сообщили о данной уязвимости, просим протестировать https://github.com/noshutdown-ru/vault/tree/development