Hacker-Software/opencrm
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Security-Hardening Runde 10: Pentest Runde 6 (8 Findings + struktureller Audit-Sweep)

Browse Source 
KRITISCH:
- emails/:id/thread bekommt canAccessCachedEmail
- customers/:customerId/representatives/search bekommt canAccessCustomer
  (Buchstaben-Brute-Force konnte sonst die Kunden-DB enumerieren)

HOCH:
- birthdays/upcoming: Portal-User → 403 (Name/E-Mail/Telefon/Geb-Datum
  aller Kunden leakte)
- contracts/:id/history (GET/POST/PUT/DELETE) bekommt canAccessContract
- mailbox-accounts / unread-count / contracts/:id/emails/folder-counts
  bekommen canAccessCustomer bzw. canAccessContract
- Vertreter-Vollmacht-Check ist jetzt live: neuer Helper
  getPortalAllowedCustomerIds() in accessControl.ts ruft
  hasAuthorization() für jedes vertretene Customer ab. Eingesetzt in
  getTasks/createSupportTicket/createCustomerReply/getAllTasks/
  getTaskStats und updateCustomerConsent. Widerrufene Vollmachten
  haben jetzt SOFORT keinen Zugriff mehr (vorher: bis JWT abläuft).

MITTEL:
- confirmPasswordReset speichert portalPasswordEncrypted nicht mehr
  beim Self-Service-Reset (war nur für Admin-OTPs gedacht); +
  portalPasswordMustChange=false explizit
- getCustomers pagination total reflektiert jetzt nur erlaubte IDs
  (über DB-Filter in customerService.getAllCustomers)

Audit-Sweep (defense in depth, falls Rolle versehentlich Update-
Permissions bekommt):
- 16 cachedEmail-Operationen (markAsRead, toggleStar, assign/unassign,
  save-as-pdf/invoice/contract-document, save-to, attachment-targets,
  trash-ops)
- 4 contract-Operationen (createFollowUp, createRenewal, snoozeContract,
  removeContractMeter)
- 12 sub-CRUD-Operationen (address/bankcard/document/meter
  update+delete, meter-reading add/update/delete/transfer)
- 2 representative-Operationen (add/remove)

Live-verifiziert: Portal-Customer-3 auf alle fremden IDs → 403,
Admin sieht alles, eigene Ressourcen weiterhin 200, Customer 1 mit
widerrufener Vollmacht für Customer 3 → 0 fremde Verträge in der
Response.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
duffyduck
2026-05-16 23:47:17 +02:00
parent 38c2d82c02
commit a982795388
11 changed files with 256 additions and 137 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend/src/utils/accessControl.ts
+28
View File
@@ -130,6 +130,34 @@ export async function canAccessCustomer(
return true;
}
/**
* Liefert die Liste aller Customer-IDs, auf die ein Portal-User aktuell
* Zugriff hat: eigene + vertretene MIT aktiver Vollmacht (Live-Check via
* `authorizationService.hasAuthorization`). Für Nicht-Portal-User wird
* `null` zurückgegeben (= kein Filter, alle Kunden erlaubt).
*
* Diese Funktion fängt einen wiederkehrenden Pentest-Befund ab: ohne den
* Live-Vollmacht-Check hätte ein Portal-User mit widerrufener Vollmacht
* weiterhin Zugriff auf die Daten des vertretenen Kunden, nur weil seine
* `representedCustomerIds` im JWT noch drin sind (Token kann bis zu
* 15min alt sein).
*/
export async function getPortalAllowedCustomerIds(
req: AuthRequest,
): Promise<number[] | null> {
if (!req.user?.isCustomerPortal || !req.user.customerId) return null;
const allowed: number[] = [req.user.customerId];
const represented: number[] = (req.user as any).representedCustomerIds || [];
for (const repCustId of represented) {
const hasAuth = await authorizationService.hasAuthorization(
repCustId,
req.user.customerId,
);
if (hasAuth) allowed.push(repCustId);
}
return allowed;
}
/**
* Generische Zugriffsprüfung: Ressource → customerId → canAccessCustomer.
*/