Pentest 2026-05-28 LOW 34.5: Backend-Validierung für AppSettings

Schema-Whitelist und Trailing-Slash-Strip für portalLoginUrl standen
NUR im Frontend. Der API-Endpoint nahm sonst /relative/path,
javascript:/ftp:/data:-Schemata und private IPs ungeprüft entgegen –
das landet als toter / bösartiger Link in den an Kunden verschickten
Portal-Mails (Open-Redirect / SSRF-Vektor).

Neuer validateSettingValue(key, value) in appSetting.service mit
per-Key-Logik:
  - portalLoginUrl: absolute http(s)-URL, isBlockedSsrfHost-Check
    (Cloud-Metadata immer, private Ranges via SSRF_BLOCK_PRIVATE_IPS),
    Trailing-Slash-Strip.
  - Schwellenwerte (deadline*/documentExpiry*): positive Integer.
  - Bool-Settings: strict 'true'/'false'.
  - monitoringAlertEmail: RFC-5322-light gegen Header-Injection.
  - Andere Keys: kein Format-Check (Default).

Controller (updateSetting + updateSettings) rufen Validator nach
stripHtml; bei Fehler HTTP 400 mit klarer Message. Bulk-PUT
validiert ALLE Werte VOR dem ersten DB-Write – kein halb-committed
State bei einem ungültigen Eintrag.

Live-verifiziert auf dev: alle Test-Payloads aus dem Pentest
sauber abgelehnt, legitime Werte (https-URL, Trailing-Slash, Pfade)
korrekt akzeptiert + normalisiert.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

backend/src/controllers/appSetting.controller.ts

@@ -56,7 +56,17 @@ export async function updateSetting(req: AuthRequest, res: Response): Promise<vo
     // HTML-Tags aus Plain-Text-Keys strippen, bevor sie in der DB landen.
     // Pentest 2026-05-19, MEDIUM: companyName="<img onerror=...>" landete
     // sonst ungefiltert in E-Mail-Templates / PDFs.
-    const newValue = appSettingService.sanitizeSettingValue(key, String(value));
+    const stripped = appSettingService.sanitizeSettingValue(key, String(value));
+    // Schema-spezifische Validierung (URL/Email/Int/Bool). Pentest
+    // 2026-05-28, LOW 34.5: portalLoginUrl nahm `/relative/path` und
+    // `http://192.168.1.1` ungefiltert entgegen → Open-Redirect /
+    // SSRF in der versendeten Mail.
+    const validation = appSettingService.validateSettingValue(key, stripped);
+    if (!validation.ok) {
+      res.status(400).json({ success: false, error: validation.error } as ApiResponse);
+      return;
+    }
+    const newValue = validation.value;
 
     await appSettingService.setSetting(key, newValue);
 
@@ -102,12 +112,23 @@ export async function updateSettings(req: AuthRequest, res: Response): Promise<v
       return;
     }
 
-    // Vorherige Werte laden für Audit
+    // Vorherige Werte laden für Audit. Validierung erfolgt vor dem
+    // ersten Schreibzugriff, damit ein Bulk-PUT mit einem ungültigen
+    // Wert nicht die anderen Werte halb-committed liegen lässt.
     const changes: Record<string, { von: unknown; nach: unknown }> = {};
+    const sanitizedEntries: Array<{ key: string; oldValue: string; newValue: string }> = [];
     for (const [key, value] of Object.entries(settings)) {
       const before = await prisma.appSetting.findUnique({ where: { key } });
       const oldValue = before?.value ?? '-';
-      const newValue = appSettingService.sanitizeSettingValue(key, String(value));
+      const stripped = appSettingService.sanitizeSettingValue(key, String(value));
+      const validation = appSettingService.validateSettingValue(key, stripped);
+      if (!validation.ok) {
+        res.status(400).json({ success: false, error: `${key}: ${validation.error}` } as ApiResponse);
+        return;
+      }
+      sanitizedEntries.push({ key, oldValue, newValue: validation.value });
+    }
+    for (const { key, oldValue, newValue } of sanitizedEntries) {
       if (oldValue !== newValue) {
         changes[key] = { von: oldValue, nach: newValue };
       }