Scrum4Me

History

janpeter visser d90a8fd560 fix: PATCH /api/tasks/:id geeft 403 bij cross-user toegang Vervang productAccessFilter in de WHERE clause door een expliciete toegangscheck na het ophalen. findFirst haalt de taak op met product en members (gefilterd op auth.userId); daarna wordt eigenaarschap of teamlidmaatschap gecontroleerd en 403 teruggegeven bij geen toegang. Dit herstelt het onderscheid 404 (taak bestaat niet) vs 403 (taak bestaat maar geen toegang), zoals de beveiligingstest verwacht. Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-04-25 13:44:51 +02:00
..
[id]	fix: PATCH /api/tasks/:id geeft 403 bij cross-user toegang	2026-04-25 13:44:51 +02:00

janpeter visser d90a8fd560 fix: PATCH /api/tasks/:id geeft 403 bij cross-user toegang

Vervang productAccessFilter in de WHERE clause door een expliciete
toegangscheck na het ophalen. findFirst haalt de taak op met product
en members (gefilterd op auth.userId); daarna wordt eigenaarschap of
teamlidmaatschap gecontroleerd en 403 teruggegeven bij geen toegang.

Dit herstelt het onderscheid 404 (taak bestaat niet) vs 403 (taak
bestaat maar geen toegang), zoals de beveiligingstest verwacht.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

2026-04-25 13:44:51 +02:00

[id]

fix: PATCH /api/tasks/:id geeft 403 bij cross-user toegang

2026-04-25 13:44:51 +02:00