Multer-Upload-Errors: 415/413 statt 500

Pentest 2026-05-30 INFO: Upload-Endpoints lieferten 500 statt
sauberem 4xx, wenn der fileFilter den MIME-Type ablehnte
(z.B. WebP/GIF, die gar nicht in der Allowlist standen) oder
LIMIT_FILE_SIZE getroffen wurde.

Ursache: fileFilter rief cb(new Error(...)) – multer wirft das
weiter, und ohne dedizierten Error-Handler endete es als 500
"Interner Serverfehler" mit Stack-Trace im Log.

Fix:
- WebP + GIF in die Allowlist von upload.routes.ts (Bug-Pen-
  test-Erwartung des Reporters).
- Globaler Express-Error-Handler in index.ts unterscheidet jetzt:
    * MulterError code=LIMIT_FILE_SIZE → 413 "Datei ist zu groß"
    * andere MulterError                → 400 "Upload-Fehler: ..."
    * Error mit "...erlaubt"-Message    → 415 mit Original-Message
    * sonst                             → bisheriger 4xx/500-Pfad

Live-verifiziert:
  WebP/GIF/JPG → 200
  SVG / text/plain → 415 + klare Message
  11 MB PDF → 413 "Datei ist zu groß"

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

backend/src/routes/upload.routes.ts

@@ -38,12 +38,18 @@ const fileFilter = (
   file: Express.Multer.File,
   cb: multer.FileFilterCallback
 ) => {
-  // Nur PDFs und Bilder erlauben
-  const allowedTypes = ['application/pdf', 'image/jpeg', 'image/png', 'image/jpg'];
+  // PDFs + gängige Web-Bildformate. WebP + GIF nachgezogen 2026-05-30
+  // (Pentest INFO: WebP/GIF lieferten 500 statt sauberem 4xx, weil
+  // erlaubter MIME-Type fehlte und der fileFilter dann throwte).
+  const allowedTypes = [
+    'application/pdf',
+    'image/jpeg', 'image/jpg', 'image/png',
+    'image/gif', 'image/webp',
+  ];
   if (allowedTypes.includes(file.mimetype)) {
     cb(null, true);
   } else {
-    cb(new Error('Nur PDF, JPG und PNG Dateien sind erlaubt'));
+    cb(new Error('Nur PDF, JPG, PNG, GIF und WebP-Dateien sind erlaubt'));
   }
 };