opencrm

Hacker-Software/opencrm

Fork 0

4ab0340473 Pentest R95: portalUsername (Manual-Modus) härten main duffyduck 2026-06-21 15:24:57 +02:00
f1102a24b7 CopyButton: Portal-Benutzername + E-Mail-Postfach-Selector duffyduck 2026-06-21 15:05:25 +02:00
c013e1e747 Pentest R93: Leerer String != fehlender Query-Param duffyduck 2026-06-21 14:54:15 +02:00
caa283e66f Pentest R92: Strict-400 für accountId auf Vertrags-Endpunkten duffyduck 2026-06-21 14:47:42 +02:00
18a2e1173b Pentest R91: NaN-Bypass auf accountId-Query-Param duffyduck 2026-06-21 14:22:40 +02:00
993f2d10f0 E-Mail-Ansicht: Postfach-Filter in Trash/Sent durchreichen duffyduck 2026-06-21 14:06:24 +02:00
f02824fe7d Pentest R89: Provider-Adressfelder härten duffyduck 2026-06-21 13:35:56 +02:00
8b10316683 Anbieter: Kontakt + Kündigung als Stammdaten duffyduck 2026-06-21 13:10:59 +02:00
26959ec909 Pentest R87: Identifier-Whitelist vor stripHtml ziehen duffyduck 2026-06-21 12:50:45 +02:00
c8b86ca9a7 Pentest R86: Vertrags-Identifier max 100 + Charset-Whitelist duffyduck 2026-06-19 14:14:00 +02:00
0b7bb89ebc Vertrag: Auftragsnummer Vertriebsplattform vor Kundennummer duffyduck 2026-06-19 13:49:04 +02:00
9274c0adaf Doku: URL-encoded Route-Params als by-design dokumentiert (R85-INFO) duffyduck 2026-06-18 18:54:24 +02:00
dfe2a4b241 Plesk-Sync: Auto-Import bei User-Remove deaktivieren duffyduck 2026-06-18 18:24:44 +02:00
194c86409f Plesk-Sync: del/add-Diff statt nicht-existierendem set: duffyduck 2026-06-18 18:16:57 +02:00
2becf6cb6a Plesk updateForwardTargets: CLI-Params + Response loggen duffyduck 2026-06-18 18:07:12 +02:00
24e152b201 Pentest 83.1-83.3: Auto-Import-Pfad härten duffyduck 2026-06-18 17:35:17 +02:00
a83358bbe6 Plesk-Sync: Legacy-Mailgroup-Adressen synchronisierten nicht duffyduck 2026-06-18 17:22:08 +02:00
5bb048c534 Pentest 81.1 (MEDIUM): Self-Forward erzeugte Mail-Loop am Provider duffyduck 2026-06-18 15:55:01 +02:00
b3469483ca Pentest 77.3 (LOW): requireIdParam blockt Float-IDs duffyduck 2026-06-18 15:28:59 +02:00
8992bb7a5d Stressfrei-Adressen: Duplikate beim Anlegen ablehnen duffyduck 2026-06-18 14:01:35 +02:00
246999be01 Pentest 71.1-71.4: Härtung der Zusatz-Weiterleitungen duffyduck 2026-06-18 13:41:16 +02:00
96a054aa1a Stressfrei-Adressen: Zusatz-Weiterleitungen auch beim Anlegen duffyduck 2026-06-18 11:20:03 +02:00
36beac98c9 Stressfrei-Adressen: zusätzliche Weiterleitungsziele duffyduck 2026-06-18 10:58:14 +02:00
60851450f6 Bugfixes: Zähler/Bankkarte/Ausweis/Zählerstand-Modal editierbar duffyduck 2026-06-08 20:54:40 +02:00
523eab30d5 JpgToPdfModal: Bilder auf 2400px runterskalieren duffyduck 2026-06-03 18:29:04 +02:00
2fee13d09e EmailDetail: ExternalLink-Icon beim "Zugeordnet zu"-Badge duffyduck 2026-06-03 18:20:10 +02:00
84cbf01706 Kunden-Tabs: ExternalLink-Icon neben jedem Reiter duffyduck 2026-06-03 18:15:23 +02:00
fcc3b04725 Vertrag: Kunden-/Vertragsnummer bei Vertriebsplattform duffyduck 2026-06-03 18:13:17 +02:00
101369c205 EmailDetail: Links immer im neuen Tab öffnen duffyduck 2026-06-03 18:06:19 +02:00
e792fe4185 assertSafePdf: PDF-Streams vor Pattern-Scan ausblenden duffyduck 2026-06-03 17:54:38 +02:00
7c18343a95 Bugfixes: Adresse-Modal + Upload-Limit auf 25 MB duffyduck 2026-06-03 16:37:09 +02:00
5508d59652 SIM-Karten: Checkbox "eSIM" zwischen Hauptkarte und Multisim duffyduck 2026-06-03 16:13:24 +02:00
431792e8d9 JpgToPdfModal: PDF-Größe massiv reduziert duffyduck 2026-06-03 16:06:05 +02:00
d5dd3f5e7f Pentest 70.2 (LOW): 500 statt 415 bei verbotenem MIME duffyduck 2026-06-03 15:32:34 +02:00
a235c43f40 Pentest 70.1 (INFO): GIF/WebP-Whitelist in contract.routes Multer-Filter duffyduck 2026-06-03 15:21:24 +02:00
9cfd2e4a64 Pentest 69.3 (INFO): Magic-Byte-Validator auf Vertragsdokumente erweitert duffyduck 2026-06-03 14:49:06 +02:00
ec577e6d76 Pentest 68.1 (LOW) + 68.2 (INFO): PDF-Active-Content-Filter + Modal-Limit duffyduck 2026-06-03 13:18:23 +02:00
30f528596c JPGs → PDF: neuer Button überall bei PDF-Upload duffyduck 2026-06-03 12:27:37 +02:00
358688db9e PDF-Templates: billingAddress.full und .country als Slots ergänzt duffyduck 2026-06-02 15:17:48 +02:00
ffb0d81b6a PDF-Templates: billingAddress fällt auf Lieferadresse zurück duffyduck 2026-06-02 15:06:57 +02:00
25681075b4 Pentest 24.6 INFO + 26.7 LOW: PENDING-Status sperren + documentPath-Validator duffyduck 2026-06-02 14:20:13 +02:00
ad81a7c93e Pentest 64.1 LOW: ApiError-Klasse, Race-Lock liefert jetzt 400 statt 500 duffyduck 2026-06-02 13:51:32 +02:00
518139438e Pentest 62.7 LOW: deliveryDate / confirmationDate ISO-8601-Validierung duffyduck 2026-06-02 08:27:22 +02:00
5fa9d4d4f3 Pentest 60.3 MEDIUM: sanitizePhoneField auf Customer + User-Felder ausweiten duffyduck 2026-06-01 22:40:40 +02:00
f4ac1c29db Pentest 59.4 HIGH: IPv4-mapped IPv6 in SSRF-Guard blocken (alle Schreibweisen) duffyduck 2026-06-01 22:16:19 +02:00
6b1d493f0b Pentest 58.1 MEDIUM: documentType jetzt mit echter Whitelist-Validierung duffyduck 2026-06-01 21:53:34 +02:00
9482424ade Pentest 57.7 MEDIUM + 57.8 MEDIUM: Consent-Hash-TTL + Zip-Slip-Härtung duffyduck 2026-06-01 21:13:06 +02:00
a023e96012 Pentest 56.1/56.2/56.3/56.4/56.5: Ownership-Checks + InvoiceType-Validierung duffyduck 2026-06-01 21:01:06 +02:00
72de2f00f3 Pentest 55.2 + 55.3 HIGH + 55.4 + 53.3: Notes/Document-Auth/Race/Generate duffyduck 2026-06-01 20:45:39 +02:00
da1934aa2d Cockpit: "Ausweis fehlt" nur noch bei Mobilfunk duffyduck 2026-06-01 19:19:54 +02:00
0f4ffe3c32 E-Mail als PDF speichern: Tab "Vertragsdokument" ergänzt duffyduck 2026-06-01 19:15:23 +02:00
71d3ea7a2e Pentest 51.1/51.2/51.3: IPv6 SSRF, CGNAT/Alibaba, Phone-CRLF duffyduck 2026-06-01 19:06:40 +02:00
c3321a2aa9 Pentest 48.1 MEDIUM + 50.1 MEDIUM: customerEmailLabel-Strip + SSRF strict duffyduck 2026-06-01 18:29:08 +02:00
61daff8df9 Rufnummern: Vorwahl als eigenes Feld – verlässliche PDF-Befüllung duffyduck 2026-06-01 14:10:25 +02:00
57eb29c2a6 Pentest 49.1 LOW: Re-Auth jetzt auf JEDE portalUrl-Änderung duffyduck 2026-06-01 13:46:56 +02:00
5d21574c81 Pentest 48.3 MEDIUM + 48.4 INFO: Rate-Limit + Token-Invalidierung beim Staff-Passwort-Reset duffyduck 2026-06-01 13:01:44 +02:00
2c0166ed99 Pentest 47.1/47.2/47.3: Re-Auth bei sensiblen Operationen + Provider.name-Strip duffyduck 2026-06-01 12:38:45 +02:00
d0d2715baa Pentest 46.1 HIGH + Info-Konsolidierung: zentrale URL-Validierung duffyduck 2026-06-01 11:48:14 +02:00
c58a60db23 docs: todo.md + README aktualisiert (Pentest-Fixes, Folgezähler, SIM-cardUser, EmailProvider-Label-Override etc.) duffyduck 2026-06-01 11:10:23 +02:00
9519f0dbca EmailProviders-Settings: Input "Bezeichnung im UI" für customerEmailLabel duffyduck 2026-06-01 08:37:28 +02:00
cd7075e96f Quicklinks auch im "Kein Postfach"-Zustand der E-Mails-Card anzeigen duffyduck 2026-06-01 08:23:40 +02:00
4acfd9de1c SIM-Karten: Feld "Kartennutzer" für Firmen-/Familienverträge duffyduck 2026-06-01 08:10:16 +02:00
9e3bce85f0 Vorgängervertrag-Modal: Kundennr./Vertragsnr. beim Anbieter auch ohne Provider/Tarif anzeigen duffyduck 2026-06-01 07:51:36 +02:00
4fb700cf57 Vertrags-Forms: Mini-Links zu Stammdaten in neuem Tab duffyduck 2026-06-01 07:47:40 +02:00
5269092d2a Fix: "Wurde sondergekündigt?"-Label nicht über volle Spaltenbreite klickbar duffyduck 2026-05-31 12:49:37 +02:00
83f1984f12 Pentest 43.6 MEDIUM + 43.5 INFO: History-XSS + blocked:-Marker duffyduck 2026-05-30 19:58:20 +02:00
b9a6d99d50 Pentest 42.5 MEDIUM: priceFirst12Months/priceFrom13Months/priceAfter24Months in Display-Strip aufnehmen duffyduck 2026-05-30 19:24:11 +02:00
a20e331f83 Strom/Gas-Details: "Zähler verwalten"-Link neben Card-Titel duffyduck 2026-05-30 15:11:01 +02:00
43aaf697a1 Fix: Multi-Meter-Verbrauch auf Vertragslaufzeit clampen duffyduck 2026-05-30 15:07:19 +02:00
b0e45c0ea0 Fix: "Zähler ohne Verträge anzeigen" filtert auf orphans, nicht additiv duffyduck 2026-05-30 15:00:21 +02:00
95b7261227 Anzeige-Fix: HTML in providerName/tariffName etc. beim Read strippen duffyduck 2026-05-30 14:55:59 +02:00
0d024b94c2 Kundenakte → Zähler: Checkbox "Zähler ohne Verträge anzeigen" duffyduck 2026-05-30 14:50:24 +02:00
b4b0dbb004 Kundenakte → Zähler: Aufklapp-Liste der zugeordneten Verträge duffyduck 2026-05-30 14:48:22 +02:00
2ee06630b9 Folgezähler-Forms: Checkbox "Alten Zähler deaktivieren" (default an) duffyduck 2026-05-30 14:39:05 +02:00
3a9cece929 Vertragshistorie: Vertragsnummern als Link in neuem Tab duffyduck 2026-05-30 14:33:11 +02:00
e527aebb84 Vorvertrag-Verbrauch als Schätzwert im Folgevertrag duffyduck 2026-05-30 14:28:55 +02:00
13213846f4 Folgezähler-Form: Link "Zähler verwalten" → Kundenakte (neuer Tab) duffyduck 2026-05-30 14:15:40 +02:00
61ce35821d Endstand alter Zähler fließt in Verbrauchsberechnung ein duffyduck 2026-05-30 14:14:03 +02:00
34e106f253 Fix: Folgezähler-Button auch bei Single-Meter-Verträgen anzeigen duffyduck 2026-05-30 14:03:01 +02:00
ad4c2bae1d Folgezähler-Deklaration in der Kundenakte (Auto-Propagation) duffyduck 2026-05-30 13:48:23 +02:00
6f378d750c Vertragsansicht: Standort + Inaktiv-Badge beim Zähler anzeigen duffyduck 2026-05-30 13:32:12 +02:00
c099b41796 Zähler → Lieferadresse-Pflichtfeld + Vertragsfilter duffyduck 2026-05-30 13:18:24 +02:00
d92d0b1eaf Vertrags-Mail-Card: Link "Postfach öffnen" → Kunden-Postfach in neuem Tab duffyduck 2026-05-30 12:23:29 +02:00
a3fef8891a Pentest 2026-05-30 LOW 39.3 + INFO 39.4: Magic-Byte-Check + Endung-Normalisierung duffyduck 2026-05-30 11:43:13 +02:00
617022e492 Multer-Upload-Errors: 415/413 statt 500 duffyduck 2026-05-30 09:59:06 +02:00
c93d4375ab fix: Email-Anhang öffnet wieder zuverlässig im neuen Tab duffyduck 2026-05-30 09:24:13 +02:00
0bd2f9be7e fix: "Anzeigen"-Buttons öffnen Datei wieder im Browser-Tab duffyduck 2026-05-30 09:19:04 +02:00
6a670df1c4 fix: 2x Portal-Bugs (Vertragsauswahl + Email-Sync) duffyduck 2026-05-30 08:25:16 +02:00
7dcdf9d6ef Pentest Runde 35 follow-up: portalLoginUrl blockt ALLE privaten IPs duffyduck 2026-05-28 21:55:44 +02:00
100147107c Pentest 2026-05-28 LOW 34.5: Backend-Validierung für AppSettings duffyduck 2026-05-28 14:39:45 +02:00
2d4e4cdcc7 Portal-Login-URL als App-Setting (statt nur PUBLIC_URL-Env) duffyduck 2026-05-28 12:49:55 +02:00
ee4ca9df07 Zugangsdaten-Card: Portal-Link des Anbieters anzeigen duffyduck 2026-05-28 11:27:02 +02:00
9385fc0f11 fix: Portal-E-Mail-Feld konnte nur per Paste befüllt werden duffyduck 2026-05-28 09:20:36 +02:00
c9f4fcf8de fix: Portal-Passwort-Card im Vertragsdetail wieder sichtbar duffyduck 2026-05-27 02:30:54 +02:00
f41d1843e4 fix: Portal-Passwörter im Vertrag wurden mutiliert duffyduck 2026-05-27 02:05:26 +02:00
aa0900410b Pentest 2026-05-24 Pen-31-Befunde (2x MEDIUM) duffyduck 2026-05-24 15:38:16 +02:00
897abc7b21 Datenschutzerklärung als unterschreibbare PDF-Vorlage duffyduck 2026-05-24 15:30:11 +02:00
69a52ffe03 README: Admin-Initial-Passwort ist seit Pentest-12 zufällig duffyduck 2026-05-24 14:56:55 +02:00
771f46d2ac Vertragsansicht: Kunden-Schnellansicht-Modal + Cent/Euro-Input duffyduck 2026-05-24 14:41:37 +02:00
20d42c5270 Energie-Bonus aufgeteilt in Sofort + Neukunden duffyduck 2026-05-24 14:27:54 +02:00

1 2 3

Commit Graph Select branches Hide Pull Requests main v1.1.0 Mono Color

Commit Graph

Select branches

Hide Pull Requests

main

v1.1.0