Olá, bom dia!
Detectei uma grave falha de segurança:
Na tela inicial de login (para acessar a lista de projetos do usuário), a validação do sistema está permitindo qualquer tipo de acesso, até mesmo um usuário inventado (que não existe) ou usuário existente mas sem necessidade de digitar a senha.
Exemplo:
usuário: admin
senha: admin123
Pressupondo que existe esse usuário cadastrado, é possível acessar o sistema apenas digitando o usuário ‘admin’, sem digitar a senha ‘admin123’ !
Nota: estou utilizando o LDAP para sincronizar usuários do Active Directory.