Hacker-Software/opencrm
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
f02824fe7d5db0ffff08852a460506bc56221090
opencrm/docs
T
History
duffyduck f02824fe7d Pentest R89: Provider-Adressfelder härten 
R89.1 MEDIUM + R89.2 LOW: sanitizeNotes(…, 500) macht silent
slice(0, 500) statt 400, und stripHtml lief vor dem Length-
Check – `<script>…</script>` reduzierte auf "" → null in DB
→ vorheriger Wert silent überschrieben (R87.1-Pattern auf
Adress-Feldern).

Fix: validateProviderAddress() in sanitize.ts – Raw-Input,
max 500 mit ApiError(400), Blacklist <, >, Tab + alle
Control-Chars außer \n. CRLF → LF VOR dem Length-Check, damit
Editoren mit \r\n-Line-Endings nicht doppelt zählen. Eingehängt
in stripProviderStrings für contactAddress/cancellationAddress.

R89.3/R89.4 (Quotes/\n) bewusst akzeptiert – Pentester selbst
sagt "kein Risiko", sind in Adressen legitim.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-06-21 13:35:56 +02:00
..
SECURITY-HARDENING.md
Pentest R89: Provider-Adressfelder härten
2026-06-21 13:35:56 +02:00
SECURITY-REVIEW.md
docs: Security-Hardening in eigene MD ausgelagert + Live-Tabellen
2026-05-01 08:15:38 +02:00
TESTING.md
docs: TESTING.md mit Check-Listen für Security + Email-Log-System
2026-04-23 17:21:34 +02:00
todo.md
Pentest R89: Provider-Adressfelder härten
2026-06-21 13:35:56 +02:00