opencrm

Files

T

duffyduck c8b86ca9a7 Pentest R86: Vertrags-Identifier max 100 + Charset-Whitelist

R86.1 LOW + R86.2 LOW: >999-Zeichen liefen in DB-Overflow (500
statt 400), Attribut-Injection (`foo" onerror=…` ohne
umschließenden Tag) überlebte stripHtml.

Fix: validateContractIdentifier() (max 100,
^[A-Za-z0-9_\-/. ]{0,100}$) in sanitize.ts, eingehängt in
sanitizeContractBody. Wirft ApiError(400, …). Literales Space
statt \s → kein CRLF/Tab → kein Header-Injection-Vektor in
CSV-/Mail-/PDF-Export. Greift auf alle fünf Identifier-Felder
(Provider + Sales-Platform). ContractForm-Inputs bekommen
maxLength={100} als UX-Schicht.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-06-19 14:14:00 +02:00

SECURITY-HARDENING.md

Pentest R86: Vertrags-Identifier max 100 + Charset-Whitelist

2026-06-19 14:14:00 +02:00

SECURITY-REVIEW.md

docs: Security-Hardening in eigene MD ausgelagert + Live-Tabellen

2026-05-01 08:15:38 +02:00

TESTING.md

docs: TESTING.md mit Check-Listen für Security + Email-Log-System

2026-04-23 17:21:34 +02:00

todo.md

Pentest R86: Vertrags-Identifier max 100 + Charset-Whitelist

2026-06-19 14:14:00 +02:00