Security: Path Traversal im Image-Endpoint erlaubt beliebigen Dateizugriff #64

New issue

Open

opened 2026-03-30 20:18:02 +00:00 by David · 0 comments

David commented 2026-03-30 20:18:02 +00:00

Collaborator

Copy link

Beschreibung

Der Endpoint GET /api/tickets/{id}/images/{idx} in backend/api/tickets.py:321-341 validiert den Dateipfad nicht. Durch manipulierte Bildpfade in der Datenbank kann ein Angreifer beliebige Dateien vom Server lesen (z.B. ../../etc/passwd, .env).

Hintergrund

Die Bildpfade werden beim Odoo-Polling gespeichert und beim Abruf direkt an FileResponse übergeben, ohne zu prüfen ob der Pfad innerhalb des erlaubten Verzeichnisses liegt.

Akzeptanzkriterien

• Dateipfad wird gegen ein erlaubtes Basisverzeichnis validiert (z.B. REPOS_CACHE_DIR)
• Path Traversal via ../ wird erkannt und mit 403 abgelehnt
• Symlink-Angriffe werden verhindert (os.path.realpath() Prüfung)
• Test: Versuch mit ../../../etc/passwd gibt 403 zurück

Technische Hinweise

• Betroffene Datei: backend/api/tickets.py:321-341
• Ansatz: os.path.realpath() + Prefix-Check gegen erlaubtes Verzeichnis
• Migration nötig: nein

Aufwand: S

## Beschreibung Der Endpoint `GET /api/tickets/{id}/images/{idx}` in `backend/api/tickets.py:321-341` validiert den Dateipfad nicht. Durch manipulierte Bildpfade in der Datenbank kann ein Angreifer beliebige Dateien vom Server lesen (z.B. `../../etc/passwd`, `.env`). ## Hintergrund Die Bildpfade werden beim Odoo-Polling gespeichert und beim Abruf direkt an `FileResponse` übergeben, ohne zu prüfen ob der Pfad innerhalb des erlaubten Verzeichnisses liegt. ## Akzeptanzkriterien - [ ] Dateipfad wird gegen ein erlaubtes Basisverzeichnis validiert (z.B. `REPOS_CACHE_DIR`) - [ ] Path Traversal via `../` wird erkannt und mit 403 abgelehnt - [ ] Symlink-Angriffe werden verhindert (`os.path.realpath()` Prüfung) - [ ] Test: Versuch mit `../../../etc/passwd` gibt 403 zurück ## Technische Hinweise - Betroffene Datei: `backend/api/tickets.py:321-341` - Ansatz: `os.path.realpath()` + Prefix-Check gegen erlaubtes Verzeichnis - Migration nötig: nein ## Aufwand: S

David added the

bug

S

kritisch

api

backend

labels 2026-03-30 20:18:02 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

detached

feature/ui-redesign

No results found.

Labels

Clear labels   

api

API Endpoints betroffen

  

backend

Backend/Python betroffen

  

bug

Fehler/Bug

  

database

Datenbank/Migration betroffen

  

doku

Dokumentation nötig

  

feature

Neues Feature

  

frontend

Frontend/React betroffen

  

improvement

Verbesserung bestehender Funktion

  

in work

Issue wird gerade bearbeitet

  

kritisch

Höchste Priorität

  

L

Large: 1+ Tag, > 5 Dateien

  

M

Medium: halber Tag, 3-5 Dateien

  

niedrig

Niedrige Priorität

  

normal

Normale Priorität

  

review

In Review

  

S

Small: < 1h, 1-2 Dateien

  

service

Service/Pipeline betroffen

  

wichtig

Hohe Priorität

  

XL

Extra Large: mehrere Tage

No labels

api

backend

bug

database

doku

feature

frontend

improvement

in work

kritisch

L

M

niedrig

normal

review

S

service

wichtig

XL

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

Basti/Bruno#64

No description provided.