opencrm

Hacker-Software/opencrm

Fork 0

Commit Graph

Author	SHA1	Message	Date
duffyduck	adc3b70492	Pentest 2026-05-20 MEDIUM+LOW Follow-ups MEDIUM – Consent-Mass-Assignment: PUT /api/gdpr/customer/:id/consents/:type nahm source/documentPath/ version ungefiltert aus dem Body. Portal-User konnte source="ADMIN_OVERRIDE", version="<script>" oder documentPath="../../etc/passwd" durchschmuggeln. Fix: nur status aus Body, source server-seitig auf "portal" hardcoded, documentPath/version bleiben NULL (werden dediziert vom Authorization-Upload server-seitig gesetzt). Whitelist ALLOWED_CONSENT_SOURCES für source-Werte. grantAuthorization (Admin) erzwingt die Whitelist ebenfalls; notes läuft jetzt durch stripHtml. LOW – javascript:-URI in companyName: stripHtml() entfernte HTML-Tags, ließ aber javascript:/data:/ vbscript:-Schemata stehen. companyName="javascript:alert(1)" hätte in <a href={companyName}> aktiv werden können. Fix: stripHtml ersetzt jene Schemata mit "blocked:" – legitimer Text bleibt unangetastet, das Schema wird unschädlich. LOW – documentPath ohne Validierung: Bereits durch obigen Consent-Fix erledigt; Cleanup-Pass strippt zusätzlich vorhandene dreckige Pfade. cleanup-xss-and-mass-assignment.ts: neue cleanupConsents() läuft beim Container-Start, normalisiert source per Whitelist auf "unknown" + stripHtml über version/documentPath. Live-verifiziert auf dev (alle drei Payloads geblockt + Cleanup auf dirty DB greift). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-20 01:13:19 +02:00
duffyduck	fd55742c57	complete new audit system	2026-03-21 18:23:54 +01:00
duffyduck	c3edb8ad2e	gdpr audit implemented, email log, vollmachten, pdf delete cancel data privacy and vollmachten, removed message no id card in engergy car, and other contracts that are not telecom contracts, added insert counter for engery	2026-03-21 11:59:53 +01:00

Author

SHA1

Message

Date

duffyduck

adc3b70492

Pentest 2026-05-20 MEDIUM+LOW Follow-ups

MEDIUM – Consent-Mass-Assignment:
PUT /api/gdpr/customer/:id/consents/:type nahm source/documentPath/
version ungefiltert aus dem Body. Portal-User konnte
source="ADMIN_OVERRIDE", version="<script>" oder
documentPath="../../etc/passwd" durchschmuggeln.

Fix: nur status aus Body, source server-seitig auf "portal"
hardcoded, documentPath/version bleiben NULL (werden dediziert
vom Authorization-Upload server-seitig gesetzt). Whitelist
ALLOWED_CONSENT_SOURCES für source-Werte. grantAuthorization
(Admin) erzwingt die Whitelist ebenfalls; notes läuft jetzt
durch stripHtml.

LOW – javascript:-URI in companyName:
stripHtml() entfernte HTML-Tags, ließ aber javascript:/data:/
vbscript:-Schemata stehen. companyName="javascript:alert(1)"
hätte in <a href={companyName}> aktiv werden können.

Fix: stripHtml ersetzt jene Schemata mit "blocked:" – legitimer
Text bleibt unangetastet, das Schema wird unschädlich.

LOW – documentPath ohne Validierung:
Bereits durch obigen Consent-Fix erledigt; Cleanup-Pass strippt
zusätzlich vorhandene dreckige Pfade.

cleanup-xss-and-mass-assignment.ts: neue cleanupConsents() läuft
beim Container-Start, normalisiert source per Whitelist auf
"unknown" + stripHtml über version/documentPath.

Live-verifiziert auf dev (alle drei Payloads geblockt + Cleanup
auf dirty DB greift).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-20 01:13:19 +02:00

duffyduck

fd55742c57

complete new audit system

2026-03-21 18:23:54 +01:00

duffyduck

c3edb8ad2e

gdpr audit implemented, email log, vollmachten, pdf delete cancel data privacy and vollmachten, removed message no id card in engergy car, and other contracts that are not telecom contracts, added insert counter for engery

2026-03-21 11:59:53 +01:00

3 Commits