- F-10 Open Redirect: is_safe_url()-Pruefung des next-Parameters beim Login;
login_required gibt next weiter, Login-Formular traegt es als Hidden-Feld.
Externe/protokoll-relative Ziele werden ignoriert -> Dashboard.
- F-11 Info-Leak: eigene Fehlerseiten (400/403/404/405/500) ohne Framework-
Hinweis oder Stacktrace (templates/error.html).
- manage.sh: 'unlock' (Brute-Force-Sperren aufheben) und 'reset-password'
(Admin-Passwort setzen/zufaellig erzeugen) via docker-compose run.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Stefan Hacker
91993eb487