MFA wordt alleen UI-side afgedwongen, niet server-side #85

New issue

Closed

opened 2026-05-26 18:23:23 +00:00 by jesse-a · 1 comment

jesse-a commented 2026-05-26 18:23:23 +00:00

Owner

Copy link

Severity: HIGH

requireRole() en assertCanWrite() checken in src/lib/auth.ts alleen de role. Een ingelogde MANAGER/ADMIN zonder afgeronde TOTP-setup kon dus via directe server-action-calls of API-routes toch acties uitvoeren — de UI-redirect in src/app/(app)/layout.tsx was de enige barrière.

Fix: SessionPayload uitgebreid met totpEnabled, live uit DB gelezen door getSession(). requireRole() en assertCanWrite() werpen nu als TOTP niet ingeschakeld is. De 2FA-setup-flow blijft op requireSession() draaien zodat nieuwe gebruikers zich kunnen inschrijven.

Files: src/lib/auth.ts, src/lib/session.ts, src/app/actions/auth.ts, src/app/actions/account.ts

**Severity: HIGH** `requireRole()` en `assertCanWrite()` checken in `src/lib/auth.ts` alleen de role. Een ingelogde MANAGER/ADMIN zonder afgeronde TOTP-setup kon dus via directe server-action-calls of API-routes toch acties uitvoeren — de UI-redirect in `src/app/(app)/layout.tsx` was de enige barrière. **Fix**: `SessionPayload` uitgebreid met `totpEnabled`, live uit DB gelezen door `getSession()`. `requireRole()` en `assertCanWrite()` werpen nu als TOTP niet ingeschakeld is. De 2FA-setup-flow blijft op `requireSession()` draaien zodat nieuwe gebruikers zich kunnen inschrijven. **Files**: src/lib/auth.ts, src/lib/session.ts, src/app/actions/auth.ts, src/app/actions/account.ts

jesse-a added the

fixed

security

severity-high

labels 2026-05-26 18:23:24 +00:00

jesse-a commented 2026-05-26 18:23:24 +00:00

Author

Owner

Copy link

Opgelost in commit 67b2580.

Opgelost in commit 67b2580.

jesse-a closed this issue 2026-05-26 18:23:24 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

v1.0.0

v0.11

v0.10

v0.9

v0.8

v0.7

v0.6

v0.5

Labels

Clear labels   

deferred

Known issue, deferred

  

fixed

Resolved

  

security

Security review finding

  

severity-high

High severity

  

severity-low

Low severity

  

severity-medium

Medium severity

No labels

deferred

fixed

security

severity-high

severity-low

severity-medium

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

jesse-a/OpenCRM#85

No description provided.