python · praisonai-platformAtenção
praisonai-platform: Validação ausente de project_id em endpoints de issue permite violação de integridade entre tenants
Os endpoints de criação e atualização de issue aceitam um project_id no corpo da requisição sem validar se o projeto pertence ao workspace da URL, permitindo vi
O que mudou
Os endpoints de criação e atualização de issue aceitam um project_id no corpo da requisição sem validar se o projeto pertence ao workspace da URL, permitindo violação de integridade entre tenants.
Quem isso afeta
Usuários do praisonai-platform que dependem de estatísticas precisas de issues; qualquer membro do workspace pode injetar issues estrangeiras nas estatísticas de projeto de outro workspace.
O que fazer hoje
Aplique a correção sugerida: valide que project_id, parent_issue_id e assignee_id fornecidos no corpo pertencem ao workspace antes de persistir, e escopo get_stats para filtrar por workspace_id.
A esteira
Coletado→
Auditado→
Redigido→
Publicado