/data export-routes door VIEWER bereikbaar (privilege escalation) #86

New issue

Closed

opened 2026-05-26 18:23:24 +00:00 by jesse-a · 1 comment

jesse-a commented

2026-05-26 18:23:24 +00:00

Owner

Severity: HIGH

/data/export (CSV-bulk-export van klanten, projecten, facturen, uren) en /data/ubl (UBL-XML + factuur-PDF-ZIP) checkten alleen if (!session). De UI-page op /data vereist ADMIN, maar de underlying routes deden dat niet. Een VIEWER kon dus via directe URL bij gevoelige bulk-data komen.

Fix: beide routes hasRole('ADMIN') + totpEnabled checks toegevoegd.

Files: src/app/(app)/data/export/route.ts, src/app/(app)/data/ubl/route.ts

**Severity: HIGH** `/data/export` (CSV-bulk-export van klanten, projecten, facturen, uren) en `/data/ubl` (UBL-XML + factuur-PDF-ZIP) checkten alleen `if (!session)`. De UI-page op `/data` vereist ADMIN, maar de underlying routes deden dat niet. Een VIEWER kon dus via directe URL bij gevoelige bulk-data komen. **Fix**: beide routes `hasRole('ADMIN')` + `totpEnabled` checks toegevoegd. **Files**: src/app/(app)/data/export/route.ts, src/app/(app)/data/ubl/route.ts

jesse-a added the

fixed

security

severity-high

labels

2026-05-26 18:23:25 +00:00

jesse-a commented

2026-05-26 18:23:25 +00:00

Author

Owner

Opgelost in commit 67b2580.

Opgelost in commit 67b2580.