hacklab/resetea.net
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
Web de resetea.net
12 commits 1 branch 0 tags 321 KiB
Find a file
hacklab fa4a38bb9a fix(security): CRLF injection en campos opcionales + XSS en rtbfUrl — VULN: Header injection 
Vulnerabilidades corregidas:
- CRLF injection: los campos nickname/phone/address/extra aceptaban \r\n
  que podían manipular el cuerpo del email o, en implementaciones futuras,
  filtrar hacia cabeceras MIME. sanitizeField() elimina todos los chars
  de control (\r \n \t \x00-\x1F) sustituyéndolos por espacio.
- XSS reflejado (latente): rtbfUrl se interpolaba en innerHTML sin
  escapar con esc(). Aunque rtbfLink() devuelve URLs hardcodeadas,
  cualquier refactor futuro que usase datos del usuario habría sido
  explotable. Ahora siempre pasa por esc().

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-07 17:25:12 +02:00
api fix(security): CRLF injection en campos opcionales + XSS en rtbfUrl — VULN: Header injection 2026-04-07 17:25:12 +02:00
infra fix(security): añadir security headers HTTP en Nginx — VULN: Clickjacking + MIME sniffing 2026-04-07 17:23:03 +02:00
public fix(security): CRLF injection en campos opcionales + XSS en rtbfUrl — VULN: Header injection 2026-04-07 17:25:12 +02:00
.gitignore Add full project structure: backend API + frontend 2026-04-07 12:09:54 +02:00
context_puppeteer.txt Add full project structure: backend API + frontend 2026-04-07 12:09:54 +02:00