Hacker-Software/opencrm
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Pentest 2026-05-30 LOW 39.3 + INFO 39.4: Magic-Byte-Check + Endung-Normalisierung

Browse Source 
Upload-Endpoints (/api/upload/...) hatten denselben Mismatch-Vektor
wie schon die Vollmacht-Route (Pentest 28.3): multer prüft nur den
client-gemeldeten MIME-Type, eine `.php`-Datei mit
Content-Type: image/gif rutschte durch und landete als
`<unique>.gif.php` (Doppel-Endung) auf Disk – kein RCE in unserem
Setup, aber dreckige Datei + Inkonsistenz zwischen geliefertem MIME
und tatsächlichem Inhalt.

Fix: neue validateUploadedFile-Middleware nach upload.single(...) –
- liest die ersten 12 Bytes der gerade geschriebenen Datei
- erkennt PDF/PNG/JPEG/GIF/WebP per Magic-Bytes
- bei Mismatch: Datei löschen + 415 "Datei-Inhalt entspricht keinem
  zulässigen Typ"
- benennt die Datei auf eine KANONISCHE Endung (.pdf/.jpg/.png/.gif/
  .webp) um, abgeleitet aus dem erkannten Typ (NICHT aus
  file.originalname). Damit verschwindet `evil.gif.php` zu
  `<unique>.gif` (39.4).
- setzt req.file.mimetype auf den erkannten Type, sodass Controller
  konsistente Werte sehen.

Eingehängt in allen 10 upload.single('document')-Routes
(bank-cards, documents, business-registrations, commercial-register,
contract-docs etc.).

Live-verifiziert:
- PHP-Datei als image/gif    → 415 + Datei gelöscht
- HTML-Datei als application/pdf → 415 + Datei gelöscht
- WebP-Inhalt mit MIME image/png → 200, gespeichert als .webp
- echtes WebP/JPG → 200 mit kanonischer Endung

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
duffyduck
2026-05-30 11:43:13 +02:00
parent 617022e492
commit a3fef8891a
1 changed files with 89 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend/src/routes/upload.routes.ts
+89
View File
@@ -69,6 +69,85 @@ function setUploadDir(subDir: string) {
};
}
/**
* Post-Upload-Validierung: prüft die Magic-Bytes der gerade geschriebenen
* Datei und vergleicht mit dem fileFilter-Whitelist. Bei Mismatch
* (Pentest 2026-05-30 LOW 39.3: WebP/GIF/JPG/PDF-Spoofing) wird die
* Datei sofort gelöscht + 415 zurück.
*
* Zusätzlich (39.4): die Datei wird auf eine kanonische Endung umbenannt,
* die aus dem ERKANNTEN Typ abgeleitet ist nicht aus dem
* client-gemeldeten file.originalname. Damit verschwindet die
* `evil.gif.php`-Doppel-Endung; gespeicherter Name ist
* `<timestamp-random>.<canonical-ext>` (z.B. `.pdf` / `.png`).
*/
const PDF_MAGIC = Buffer.from('%PDF-', 'latin1');
const PNG_MAGIC = Buffer.from([0x89, 0x50, 0x4e, 0x47, 0x0d, 0x0a, 0x1a, 0x0a]);
const GIF87 = Buffer.from('GIF87a', 'latin1');
const GIF89 = Buffer.from('GIF89a', 'latin1');
function detectType(buf: Buffer): { mime: string; ext: string } | null {
if (buf.length >= 5 && buf.subarray(0, 5).equals(PDF_MAGIC)) return { mime: 'application/pdf', ext: '.pdf' };
if (buf.length >= 8 && buf.subarray(0, 8).equals(PNG_MAGIC)) return { mime: 'image/png', ext: '.png' };
if (buf.length >= 3 && buf[0] === 0xff && buf[1] === 0xd8 && buf[2] === 0xff) return { mime: 'image/jpeg', ext: '.jpg' };
if (buf.length >= 6 && (buf.subarray(0, 6).equals(GIF87) || buf.subarray(0, 6).equals(GIF89))) return { mime: 'image/gif', ext: '.gif' };
if (buf.length >= 12
&& buf.subarray(0, 4).toString('latin1') === 'RIFF'
&& buf.subarray(8, 12).toString('latin1') === 'WEBP') return { mime: 'image/webp', ext: '.webp' };
return null;
}
function validateUploadedFile(req: AuthRequest, res: Response, next: Function) {
if (!req.file) return next();
try {
const fd = fs.openSync(req.file.path, 'r');
const head = Buffer.alloc(12);
fs.readSync(fd, head, 0, 12, 0);
fs.closeSync(fd);
const detected = detectType(head);
if (!detected) {
try { fs.unlinkSync(req.file.path); } catch { /* ignore */ }
res.status(415).json({
success: false,
error: 'Datei-Inhalt entspricht keinem zulässigen Typ (PDF, JPG, PNG, GIF, WebP).',
});
return;
}
// Filename auf kanonische Extension normalisieren. Multer hat
// `<unique>.gif.php` o.ä. geschrieben wir wollen `<unique>.gif`.
const dir = path.dirname(req.file.path);
const base = path.basename(req.file.path).replace(/\.[^./]+(\.[^./]+)*$/, '');
const newName = base + detected.ext;
const newPath = path.join(dir, newName);
if (newPath !== req.file.path) {
try {
fs.renameSync(req.file.path, newPath);
req.file.path = newPath;
req.file.filename = newName;
} catch (e) {
// Rename hat seltene Edge-Cases (Cross-Device). Sicherheit
// geht vor sollte das fehlschlagen, werfen wir lieber 500
// und putzen die alte Datei.
try { fs.unlinkSync(req.file.path); } catch { /* ignore */ }
console.error('Upload-Rename fehlgeschlagen:', e);
res.status(500).json({ success: false, error: 'Upload konnte nicht abgeschlossen werden' });
return;
}
}
// Mimetype mit dem ERKANNTEN überschreiben, damit die Controller
// den korrekten Typ persistieren (falls sie ihn weiterreichen).
req.file.mimetype = detected.mime;
next();
} catch (e) {
console.error('Magic-Byte-Check fehlgeschlagen:', e);
try { fs.unlinkSync(req.file.path); } catch { /* ignore */ }
res.status(500).json({ success: false, error: 'Upload konnte nicht geprüft werden' });
}
}
// Upload für Bankkarten-Dokumente
router.post(
'/bank-cards/:id',
@@ -76,6 +155,7 @@ router.post(
requirePermission('customers:update'),
setUploadDir('bank-cards'),
upload.single('document'),
validateUploadedFile,
async (req: AuthRequest, res: Response) => {
try {
if (!req.file) {
@@ -115,6 +195,7 @@ router.post(
requirePermission('customers:update'),
setUploadDir('documents'),
upload.single('document'),
validateUploadedFile,
async (req: AuthRequest, res: Response) => {
try {
if (!req.file) {
@@ -244,6 +325,7 @@ router.post(
requirePermission('customers:update'),
setUploadDir('business-registrations'),
upload.single('document'),
validateUploadedFile,
async (req: AuthRequest, res: Response) => {
try {
if (!req.file) {
@@ -292,6 +374,7 @@ router.post(
requirePermission('customers:update'),
setUploadDir('commercial-registers'),
upload.single('document'),
validateUploadedFile,
async (req: AuthRequest, res: Response) => {
try {
if (!req.file) {
@@ -422,6 +505,7 @@ router.post(
requirePermission('customers:update'),
setUploadDir('privacy-policies'),
upload.single('document'),
validateUploadedFile,
async (req: AuthRequest, res: Response) => {
try {
if (!req.file) {
@@ -679,6 +763,7 @@ router.post(
requirePermission('contracts:update'),
setUploadDir('cancellation-letters'),
upload.single('document'),
validateUploadedFile,
(req: AuthRequest, res: Response) => handleContractDocumentUpload(req, res, 'cancellationLetterPath', 'cancellation-letters')
);
@@ -696,6 +781,7 @@ router.post(
requirePermission('contracts:update'),
setUploadDir('cancellation-confirmations'),
upload.single('document'),
validateUploadedFile,
(req: AuthRequest, res: Response) => handleContractDocumentUpload(req, res, 'cancellationConfirmationPath', 'cancellation-confirmations')
);
@@ -713,6 +799,7 @@ router.post(
requirePermission('contracts:update'),
setUploadDir('cancellation-letters-options'),
upload.single('document'),
validateUploadedFile,
(req: AuthRequest, res: Response) => handleContractDocumentUpload(req, res, 'cancellationLetterOptionsPath', 'cancellation-letters-options')
);
@@ -730,6 +817,7 @@ router.post(
requirePermission('contracts:update'),
setUploadDir('cancellation-confirmations-options'),
upload.single('document'),
validateUploadedFile,
(req: AuthRequest, res: Response) => handleContractDocumentUpload(req, res, 'cancellationConfirmationOptionsPath', 'cancellation-confirmations-options')
);
@@ -749,6 +837,7 @@ router.post(
requirePermission('contracts:update'),
setUploadDir('invoices'),
upload.single('document'),
validateUploadedFile,
async (req: AuthRequest, res: Response) => {
try {
if (!req.file) {