hackmdio/codimd

exportAllNotes should use POST method for security

Open

#1.687 geöffnet am 23. Mai 2021

Auf GitHub ansehen
 (14 Kommentare) (0 Reaktionen) (0 zugewiesene Personen)JavaScript (8.949 Stars) (1.038 Forks)batch import
good first issuesecurity

Beschreibung

👋 Hello, we've received a report for a potential high severity security issue in your repository.

Next Steps

1️⃣ Visit https://huntr.dev/bounties/1-other-hackmdio/codimd for more advisory information.

2️⃣ Sign-up to validate or speak to the researcher for more assistance.

3️⃣ Propose a patch or outsource it to our community.

Confused or need more help?

  • Join us on our Discord and a member of our team will be happy to help! 🤗

  • Speak to a member of our team: @JamieSlome

This issue was automatically generated by huntr.dev - a bug bounty board for securing open source code.

Contributor Guide

Tech Stack
javascriptnodejsexpress
Domain
backendsecurity
Issue Type
security
SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.
2
Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.
1-3 hours
AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.
stale
KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.
mostly clear
Voraussetzungen
familiarity with Express routesunderstanding of HTTP methodsbasic JavaScript
EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.
60
Research-Richtung
First, locate the route definition for exportAllNotes, likely in a file like server/routes/notes.js or a similar controller. Change the HTTP method from GET to POST. Then find any associated tests to update accordingly. Finally, check the frontend code for any calls to this endpoint and ensure they use POST. The issue is from 2021 and has no recent activity, so review the codebase to ensure the change is still applicable and no other dependencies have been introduced.