Vulnérabilité: CVE-2021-21246

OneDev est une plate-forme tout-en-un DevOps. Dans OneDev avant la version 4.0.3, le point de terminaison REST UserResource effectue une vérification de sécurité pour vous assurer que seuls les administrateurs peuvent énumérer les détails de l’utilisateur. Toutefois, pour les `/ users / {id}` point final, il n’y a pas de contrôles de sécurité appliquées de sorte qu’il est possible de récupérer les informations utilisateur arbitraires, y compris leur accès Tokens! Ces jetons d’accès peuvent être utilisés pour accéder au code API ou clone dans la spécification de construction via le protocole HTTP (S). Il dispose des autorisations à tous les projets accessibles par le compte utilisateur. Ce problème peut conduire à `Les données sensibles leak` et fuite du jeton d’accès qui peut être utilisé pour usurper l’identité de l’administrateur ou tout autre utilisateur. Cette question a été abordée dans 4.0.3 en supprimant les informations utilisateur de api reposant.


https://github.com/theonedev/onedev/security/advisories/GHSA-66v7-gg85-f4gx
https://github.com/theonedev/onedev/security/advisories/GHSA-66v7-gg85-f4gx
https://github.com/theonedev/onedev/commit/a4491e5f79dc6cc96eac20972eedc8905ddf6089
https://github.com/theonedev/onedev/commit/a4491e5f79dc6cc96eac20972eedc8905ddf6089
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21246


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire