Hacker-Software/opencrm
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
b9a6d99d500ebae8d2cba9a643be21b6f60bdc93
opencrm/backend
T
History
duffyduck b9a6d99d50 Pentest 42.5 MEDIUM: priceFirst12Months/priceFrom13Months/priceAfter24Months in Display-Strip aufnehmen 
Die drei Preisfelder sind im Schema String? (freitextlich für
Angaben wie "0,28 €/kWh"). sanitizeContract strippte sie auf
dem Read-Pfad nicht – damit lieferten Alt-Daten mit XSS-Payloads
("<script>alert(1)</script>") sie 1:1 an die UI aus.

Defense-in-Depth: Write-Pfad hat sanitizeContractBody, das alle
String-Felder rekursiv stripped. Diese Read-Time-Variante
schützt zusätzlich vor Alt-Daten und einem kompromittierten
Admin-Account.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-30 19:24:11 +02:00
..
factory-defaults
factory-defaults: HTML-Templates + Import über UI
2026-05-07 19:26:33 +02:00
prisma
Folgezähler-Deklaration in der Kundenakte (Auto-Propagation)
2026-05-30 13:48:23 +02:00
scripts
factory-defaults: builtin-Werkseinstellungen beim Auto-Seed einspielen
2026-05-07 19:41:16 +02:00
src
Pentest 42.5 MEDIUM: priceFirst12Months/priceFrom13Months/priceAfter24Months in Display-Strip aufnehmen
2026-05-30 19:24:11 +02:00
uploads
save email as pdf like an attachment
2026-02-04 19:18:32 +01:00
.env.example
Security-Hardening Runde 17: JWT-TTL + Pentest-Marker-Detection
2026-05-18 20:06:03 +02:00
.gitignore
chore: backend/.env aus Git entfernt + .gitignore klargestellt
2026-05-01 18:35:00 +02:00
docker-entrypoint.sh
Rollen+Permissions-Sync beim Container-Start
2026-05-19 12:41:39 +02:00
Dockerfile
fix: src/ ins Runtime-Image, damit prisma/*.ts-Wartungsskripte laufen
2026-05-18 15:53:52 +02:00
package-lock.json
security: JWT raus aus localStorage – Refresh-Cookie-Pattern für SPA
2026-05-16 16:06:17 +02:00
package.json
security: JWT raus aus localStorage – Refresh-Cookie-Pattern für SPA
2026-05-16 16:06:17 +02:00
tsconfig.json
first commit
2026-01-29 01:16:54 +01:00