Logo-upload vertrouwde browser-gerapporteerd MIME-type #92

New issue

Closed

opened 2026-05-26 18:23:28 +00:00 by jesse-a · 1 comment

jesse-a commented

2026-05-26 18:23:28 +00:00

Owner

Severity: MEDIUM

uploadLogo() in src/app/actions/settings.ts vertrouwde file.type blindelings. Een aanvaller kon een PHP-bestand met Content-Type: image/png-header uploaden. De server stuurt nosniff-headers dus directe XSS was niet exploiteerbaar, maar het is geen sterke verdediging.

Fix: magic-bytes-verificatie. PNG (89 50 4E 47 0D 0A 1A 0A) en JPG (FF D8 FF) headers worden gelezen en vergeleken met het beweerde MIME-type. Mismatch → upload geweigerd. logoMimeType in DB wordt overschreven met het FEITELIJK gedetecteerde type.

Files: src/app/actions/settings.ts

**Severity: MEDIUM** `uploadLogo()` in `src/app/actions/settings.ts` vertrouwde `file.type` blindelings. Een aanvaller kon een PHP-bestand met `Content-Type: image/png`-header uploaden. De server stuurt `nosniff`-headers dus directe XSS was niet exploiteerbaar, maar het is geen sterke verdediging. **Fix**: magic-bytes-verificatie. PNG (`89 50 4E 47 0D 0A 1A 0A`) en JPG (`FF D8 FF`) headers worden gelezen en vergeleken met het beweerde MIME-type. Mismatch → upload geweigerd. `logoMimeType` in DB wordt overschreven met het FEITELIJK gedetecteerde type. **Files**: src/app/actions/settings.ts

jesse-a added the

fixed

security

severity-medium

labels

2026-05-26 18:23:29 +00:00

jesse-a commented

2026-05-26 18:23:29 +00:00

Author

Owner

Opgelost in commit fbc8fdf.

Opgelost in commit fbc8fdf.