Contract-rollback-guard checkte non-existerende enum-waarde 'ACTIVE' #128

New issue

Closed

opened 2026-05-26 18:23:56 +00:00 by jesse-a · 1 comment

jesse-a commented 2026-05-26 18:23:56 +00:00

Owner

Copy link

Severity: LOW (was effectief no-op, dus geen exploit-pad)

In de DocuSeal-webhook checkte ik contract.status === "SIGNED" || contract.status === "ACTIVE" als rollback-guard. Maar ContractStatus heeft alleen: DRAFT|SENT|SIGNED|EXPIRED|TERMINATED|CANCELLED. ACTIVE bestaat niet, dus de || contract.status === "ACTIVE"-clausule was effectief altijd false. De guard werkte alleen voor SIGNED — wat in de praktijk de juiste eindstatus is. Geen real-world-impact, wel dood-code dat misleidend leesbaar was.

Fix: alleen status === "SIGNED" als skip-conditie + commentaar met de volledige enum-lijst.

Files: src/app/api/webhooks/docuseal/route.ts

**Severity: LOW** (was effectief no-op, dus geen exploit-pad) In de DocuSeal-webhook checkte ik `contract.status === "SIGNED" || contract.status === "ACTIVE"` als rollback-guard. Maar `ContractStatus` heeft alleen: `DRAFT|SENT|SIGNED|EXPIRED|TERMINATED|CANCELLED`. `ACTIVE` bestaat niet, dus de `|| contract.status === "ACTIVE"`-clausule was effectief altijd false. De guard werkte alleen voor `SIGNED` — wat in de praktijk de juiste eindstatus is. Geen real-world-impact, wel dood-code dat misleidend leesbaar was. **Fix**: alleen `status === "SIGNED"` als skip-conditie + commentaar met de volledige enum-lijst. **Files**: src/app/api/webhooks/docuseal/route.ts

jesse-a added the

fixed

security

severity-low

labels 2026-05-26 18:23:56 +00:00

jesse-a commented 2026-05-26 18:23:56 +00:00

Author

Owner

Copy link

Opgelost in commit de87b11.

Opgelost in commit de87b11.

jesse-a closed this issue 2026-05-26 18:23:56 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

v1.0.0

v0.11

v0.10

v0.9

v0.8

v0.7

v0.6

v0.5

Labels

Clear labels   

deferred

Known issue, deferred

  

fixed

Resolved

  

security

Security review finding

  

severity-high

High severity

  

severity-low

Low severity

  

severity-medium

Medium severity

No labels

deferred

fixed

security

severity-high

severity-low

severity-medium

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

jesse-a/OpenCRM#128

No description provided.