v0.12 — Input validation: CSV-formula, zip-slip, mass-assignment (3 sub-fixes) #109

New issue

Closed

opened 2026-05-26 18:23:41 +00:00 by jesse-a · 1 comment

jesse-a commented

2026-05-26 18:23:41 +00:00

Owner

Severity: MEDIUM (v0.12 — pentest-rapport)

CSV formula-injectie — toCsv() prefixt cellen die beginnen met = + - @ \t \r met een apostrof; voorkomt dat Excel/LibreOffice ze als formule evalueert (kan exfiltratie via WEBSERVICE/HYPERLINK).
Zip-slip — bestandsnaam-sanitization in saveUploadedFile() + dubbele slug() op receiptOriginal in boekhouder-ZIP-paden; voorkomt path-traversal via geprepareerde archive-entries.
Mass-assignment hardening — Deal.ownerId gevalideerd tegen actieve User; Invoice.status enum-validatie. Voorkomt dat een POST met extra fields willekeurige columns kan zetten.

**Severity: MEDIUM** (v0.12 — pentest-rapport) 1. **CSV formula-injectie** — `toCsv()` prefixt cellen die beginnen met `= + - @ \t \r` met een apostrof; voorkomt dat Excel/LibreOffice ze als formule evalueert (kan exfiltratie via WEBSERVICE/HYPERLINK). 2. **Zip-slip** — bestandsnaam-sanitization in `saveUploadedFile()` + dubbele `slug()` op `receiptOriginal` in boekhouder-ZIP-paden; voorkomt path-traversal via geprepareerde archive-entries. 3. **Mass-assignment hardening** — `Deal.ownerId` gevalideerd tegen actieve User; `Invoice.status` enum-validatie. Voorkomt dat een POST met extra fields willekeurige columns kan zetten.

jesse-a added the

fixed

security

severity-medium

labels

2026-05-26 18:23:42 +00:00

jesse-a commented

2026-05-26 18:23:42 +00:00

Author

Owner

Opgelost in commit aa68ac1.

Opgelost in commit aa68ac1.