Hacker-Software/opencrm
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

fix: Portal-Passwörter im Vertrag wurden mutiliert

Browse Source 
Folgefehler aus Pentest 31.1: die rekursive sanitizeContractBody()
lief auch über portalPassword. Passwörter mit HTML-Pattern
("Pass<TAG>word!" → "Password!") oder URI-Schema-Prefix
("data:secret" → "blocked:secret") wurden vom stripHtml-Strip
zerstört, bevor die Service-Schicht sie verschlüsseln konnte.

Fix: PASSTHROUGH_KEYS = {portalPassword, password}. Beim Walk
werden String-Werte unter diesen Keys NICHT gefiltert. Passwort
wird sowieso encrypt()-verschlüsselt in die DB geschrieben und
niemals als HTML ausgegeben – kein XSS-Risk.

Live-verifiziert:
- PUT portalPassword="MyP@ss<word>123!&data:foo"
  → GET /password decrypt liefert byte-identischen Wert
- PUT providerName="<script>...EvilProvider" → DB: "EvilProvider"
  (XSS-Schutz weiter aktiv)
- PUT portalUsername="u<test>" → DB: "u" (Plain-Text-User wird
  weiter gestrippt, ist kein Passwort)

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
duffyduck
2026-05-27 02:05:26 +02:00
parent aa0900410b
commit f41d1843e4
2 changed files with 32 additions and 4 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend/src/controllers/contract.controller.ts
+17 -4
View File
@@ -18,15 +18,28 @@ import { maybeActivateOnDeliveryConfirmation } from '../services/contractStatusS
* und lieferten sie 1:1 an Portal-User zurück. Verträge enthalten KEINE
* HTML-Felder (Richtige HTML-Texte liegen in AppSettings), deshalb ist
* Strip safe.
*
* AUSNAHME: Passwort-/Secret-Felder. `stripHtml` filtert `<…>`-Sequenzen
* und URI-Schemata wie `data:`, also würde ein PW wie `Pass<TAG>word!`
* zu `Password!` mutilieren oder `data:secret` zu `blocked:secret`.
* Das Passwort wird sowieso verschlüsselt persistiert (`encrypt()`),
* niemals als HTML ausgegeben also kein XSS-Risk, und die Mangling
* ist ein Bug (2026-05-27, intern gemeldet: "Portal-Passwörter werden
* nicht gespeichert").
*/
function sanitizeContractBody(body: unknown): unknown {
const PASSTHROUGH_KEYS = new Set(['portalPassword', 'password']);
function sanitizeContractBody(body: unknown, parentKey?: string): unknown {
if (body === null || body === undefined) return body;
if (typeof body === 'string') return stripHtml(body);
if (Array.isArray(body)) return body.map(sanitizeContractBody);
if (typeof body === 'string') {
if (parentKey && PASSTHROUGH_KEYS.has(parentKey)) return body;
return stripHtml(body);
}
if (Array.isArray(body)) return body.map((v) => sanitizeContractBody(v, parentKey));
if (typeof body === 'object') {
const out: Record<string, unknown> = {};
for (const [k, v] of Object.entries(body as Record<string, unknown>)) {
out[k] = sanitizeContractBody(v);
out[k] = sanitizeContractBody(v, k);
}
return out;
}