MIME-validatie ontbrak bij uploads + downloads serveerden zonder `nosniff` #104

New issue

Closed

opened 2026-05-26 18:23:36 +00:00 by jesse-a · 1 comment

jesse-a commented

2026-05-26 18:23:36 +00:00

Owner

Severity: MEDIUM (v0.11)

Uploads accepteerden elke file.type, en download-responses zetten geen X-Content-Type-Options: nosniff. In combinatie kon een aanvaller een HTML-file met MIME image/png uploaden en die door browsers-die-MIME-sniffen laten renderen als HTML — stored-XSS-pad.

Fix: MIME-allow-list bij upload (alleen PDF + image/{png,jpeg,webp}) + nosniff op alle download-routes via safeDownloadHeaders() helper.

**Severity: MEDIUM** (v0.11) Uploads accepteerden elke `file.type`, en download-responses zetten geen `X-Content-Type-Options: nosniff`. In combinatie kon een aanvaller een HTML-file met MIME `image/png` uploaden en die door browsers-die-MIME-sniffen laten renderen als HTML — stored-XSS-pad. **Fix**: MIME-allow-list bij upload (alleen PDF + image/{png,jpeg,webp}) + `nosniff` op alle download-routes via `safeDownloadHeaders()` helper.

jesse-a added the

fixed

security

severity-medium

labels

2026-05-26 18:23:36 +00:00

jesse-a commented

2026-05-26 18:23:37 +00:00

Author

Owner

Opgelost in commit 936daf0.

Opgelost in commit 936daf0.