v0.12 — Role-gating op AI/travel/search routes + safeNextPath + email-leak (5 sub-fixes) #110

New issue

Closed

opened 2026-05-26 18:23:42 +00:00 by jesse-a · 1 comment

jesse-a commented 2026-05-26 18:23:42 +00:00

Owner

Copy link

Severity: MEDIUM (v0.12 — pentest-rapport)

1. AI/Travel routes vereisen MANAGER: /api/ai/{customer-summary,ocr-expense,quote-draft} en /api/travel/quote checken nu rol; voorheen elk session-bezittend account.
2. safeNextPath() afwijst nu ASCII-control chars + %2F%2F / %5C (URL-encoded slashes die proxies later decoden).
3. E-mail niet meer in URL bij login-foutmelding — voorheen kwam ?email=... in browser-history + proxy-logs.
4. Server Actions allowedOrigins expliciet gezet zodat alleen onze eigen host (en optioneel staging) actions kan triggeren — extra CSRF-defense achter een reverse-proxy.
5. iCal-feed gehard — beperkt tot taken expliciet toegewezen aan de token-houder; facturen + projecten verwijderd uit feed; nieuwe User.icalRotatedAt-kolom voor rotatie-zichtbaarheid.

**Severity: MEDIUM** (v0.12 — pentest-rapport) 1. **AI/Travel routes vereisen MANAGER**: `/api/ai/{customer-summary,ocr-expense,quote-draft}` en `/api/travel/quote` checken nu rol; voorheen elk session-bezittend account. 2. **`safeNextPath()` afwijst nu** ASCII-control chars + `%2F%2F` / `%5C` (URL-encoded slashes die proxies later decoden). 3. **E-mail niet meer in URL** bij login-foutmelding — voorheen kwam `?email=...` in browser-history + proxy-logs. 4. **Server Actions `allowedOrigins`** expliciet gezet zodat alleen onze eigen host (en optioneel staging) actions kan triggeren — extra CSRF-defense achter een reverse-proxy. 5. **iCal-feed gehard** — beperkt tot taken expliciet toegewezen aan de token-houder; facturen + projecten verwijderd uit feed; nieuwe `User.icalRotatedAt`-kolom voor rotatie-zichtbaarheid.

jesse-a added the

fixed

security

severity-medium

labels 2026-05-26 18:23:42 +00:00

jesse-a commented 2026-05-26 18:23:42 +00:00

Author

Owner

Copy link

Opgelost in commit aa68ac1.

Opgelost in commit aa68ac1.

jesse-a closed this issue 2026-05-26 18:23:43 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

v1.0.0

v0.11

v0.10

v0.9

v0.8

v0.7

v0.6

v0.5

Labels

Clear labels   

deferred

Known issue, deferred

  

fixed

Resolved

  

security

Security review finding

  

severity-high

High severity

  

severity-low

Low severity

  

severity-medium

Medium severity

No labels

deferred

fixed

security

severity-high

severity-low

severity-medium

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

jesse-a/OpenCRM#110

No description provided.