Security-Hardening Runde 7: Pentest Runde 3 (3 Findings)

KRITISCH – Privilege Escalation:
POST /api/developer/setup war ohne Auth erreichbar und konnte
developer:access der Admin-Rolle hinzufügen → volle DB-Kontrolle
via /developer/*-Routen. Endpoint ersatzlos entfernt; manuelles
Setzen geht über prisma/add-developer-permission.ts (CLI).

HOCH – Fehlende Migration auf Prod:
portalPasswordMustChange war im Code, aber prod-DB hatte die
Spalte nicht → jeder Kunden-Login warf Prisma-Schema-Error → DoS.
Root Cause: db push statt migrate dev während Entwicklung →
kein Migration-File im Repo. Fix: handgenerierte Migration
20260516173552_portal_password_must_change/migration.sql, lokal
mit migrate resolve --applied registriert, durch shadow-DB-Reset
verifiziert. entrypoint.sh führt migrate deploy bereits aus.

MITTEL – Prisma-Internals-Leak im Login-Error:
error.message wurde 1:1 an den Client gegeben → bei DB-Schema-
Fehlern leakten Tabellen- und Spaltennamen. Whitelist-Filter
safeLoginError() in auth.controller.ts: nur 'Ungültige
Anmeldedaten' und 'E-Mail und Passwort erforderlich' werden
durchgereicht, alles andere wird zu generischem 'Anmeldung
fehlgeschlagen' maskiert. Original landet im Server-Log.

Live-verifiziert:
- POST /api/developer/setup → HTTP 404
- Falsches Customer-PW → 'Ungültige Anmeldedaten' (keine Internals)
- Spalte testweise gedropped → 'Anmeldung fehlgeschlagen' (generisch),
  Original-Message nur im Server-Log
- Shadow-DB-Reset + migrate deploy → Spalte korrekt erzeugt

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

backend/src/routes/developer.routes.ts

@@ -1,54 +1,15 @@
 import { Router, Response } from 'express';
-import { Prisma } from '@prisma/client';
 import prisma from '../lib/prisma.js';
 import { authenticate, requirePermission } from '../middleware/auth.js';
 import { AuthRequest } from '../types/index.js';
 
 const router = Router();
 
-// Setup-Endpunkt: Erstellt die developer:access Permission und fügt sie der Admin-Rolle hinzu
-// Dieser Endpunkt erfordert keine Authentifizierung, da er nur einmalig zum Setup verwendet wird
-router.post('/setup', async (req, res: Response) => {
-  try {
-    // Create or get the developer:access permission
-    const developerPerm = await prisma.permission.upsert({
-      where: { resource_action: { resource: 'developer', action: 'access' } },
-      update: {},
-      create: { resource: 'developer', action: 'access' },
-    });
-
-    // Get the Admin role
-    const adminRole = await prisma.role.findUnique({
-      where: { name: 'Admin' },
-      include: { permissions: true },
-    });
-
-    if (!adminRole) {
-      res.status(404).json({ success: false, error: 'Admin-Rolle nicht gefunden' });
-      return;
-    }
-
-    // Check if Admin already has this permission
-    const hasPermission = adminRole.permissions.some(
-      (rp) => rp.permissionId === developerPerm.id
-    );
-
-    if (!hasPermission) {
-      await prisma.rolePermission.create({
-        data: {
-          roleId: adminRole.id,
-          permissionId: developerPerm.id,
-        },
-      });
-      res.json({ success: true, message: 'developer:access Permission wurde zur Admin-Rolle hinzugefügt. Bitte neu einloggen!' });
-    } else {
-      res.json({ success: true, message: 'Admin-Rolle hat bereits die developer:access Permission' });
-    }
-  } catch (error) {
-    console.error('Setup error:', error);
-    res.status(500).json({ success: false, error: 'Fehler beim Setup' });
-  }
-});
+// HINWEIS: Der frühere `POST /setup`-Endpoint wurde entfernt (Pentest Runde 3
+// 2026-05-16 – KRITISCH). Er war ohne Auth erreichbar und konnte
+// `developer:access` an die Admin-Rolle hängen → Privilege-Escalation auf
+// volle DB-Kontrolle. Wenn die developer:access-Permission manuell gesetzt
+// werden muss, gibt es das CLI-Script `prisma/add-developer-permission.ts`.
 
 // Tabellen-Metadaten mit Beziehungen
 const tableMetadata: Record<string, {