Обнаружена ошибка в пакете Pulp. Когда объект управления доступом на основе ролей (RBAC) в Pulp настроен на назначение разрешений при его с…
Обнаружена ошибка в пакете Pulp. Когда объект управления доступом на основе ролей (RBAC) в Pulp настроен на назначение разрешений при его создании, он использует `AutoAddObjPermsMixin` (обычно метод add_roles_for_object_creator). Этот метод находит создателя объекта, проверяя текущего аутентифицированного пользователя. Для объектов, созданных в рамках задачи, этот текущий пользователь устанавливается первым пользователем с любыми разрешениями на объект задачи. Это означает, что самый старый пользователь с разрешениями задачи на уровне модели/домена всегда будет установлен в качестве текущего пользователя задачи, даже если он не отправлял задачу. Поэтому всем объектам, созданным в задачах, будут назначены разрешения этому самому старому пользователю, а создающий пользователь ничего не получит.
Продукт задаёт набор небезопасных разрешений, которые наследуются объектами, создаваемыми программой.
https://cwe.mitre.org/data/definitions/277.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| pulp | * | Отслеживается |
| pulp | * | Отслеживается |