La réponse est dans le code
Certes, mais mon propos était de ne pas l’avoir retrouvé dans le change log de la V19 :
https://raw.githubusercontent.com/Dolibarr/dolibarr/19.0.0/ChangeLog
Maintenant, je peux avoir des yeux défaillants 
Oui j’avais bien compris votre question. Mais un changelog ne vous garantit rien. Le seul moyen d’être sur qu’une faille de sécurité est corrigée c’est de regarder si le correctif est bien appliqué sur le code de la version de dolibarr en question.
D’où l’usage de l’expression « la réponse est dans le code ».
Compris.
Mais pour ma part, avant d’installer une version je regarde le changelog…
Au moins si c’est écrit il y a quand même des chances que ce soit effectif !!
Merci HOP et bonne fin de semaine.
Note: Je vois que HTML injection vulnerability in Dolibarr Application Home Page · Advisory · Dolibarr/dolibarr · GitHub n’a pas bougé qui a les droits pour ajouter un suivi sur cette page ?
Le système github semble pas encore mature. Cela ne semble pas être un problème de droits. @atm-maxime, avec ton compte admin git, tu arrives à clore le ticket et à compléter avec les infos github par exemple ?
Si quelqu’un a la solution pour forcer le statut du ticket saisie dans le VDP github (avec copie écran sur comment faire, je prend
Un autre ticket lui semble bien avoir pu être clos (Security Advisories · Dolibarr/dolibarr · GitHub)
J’ai l’impression que c’est github qui déciderait par rapport à la déclaration qu’il font de la CVE et du processus de suivi qui suit. A moins que seul l’auteur initial du ticket puisse le faire. Si il a un expert dans la fonction « Security Advisories » de github qui nous entend…
Sinon, pour un suivi plus détaillé et plus à jour, mieux vaut utiliser la page de apstats (qui centralise Yogosha + Github + CVE): https://cti.dolibarr.org (section Last security issues).
On y voit que la CVE en question a été saisi sur github et corrigée (avec les différents commit concernés).
1 « J'aime »
Je n’ai pas non plus les droits. Si on regarde celui qui est clos, il a été fermé par celui qu’il l’avait rapporté. Donc je pense que l’autre aussi doit être fermé par le rapporteur.
