janpeter/Scrum4Me
0
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
Scrum4Me/app/api
History
janpeter visser d90a8fd560 fix: PATCH /api/tasks/:id geeft 403 bij cross-user toegang 
Vervang productAccessFilter in de WHERE clause door een expliciete
toegangscheck na het ophalen. findFirst haalt de taak op met product
en members (gefilterd op auth.userId); daarna wordt eigenaarschap of
teamlidmaatschap gecontroleerd en 403 teruggegeven bij geen toegang.

Dit herstelt het onderscheid 404 (taak bestaat niet) vs 403 (taak
bestaat maar geen toegang), zoals de beveiligingstest verwacht.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-25 13:44:51 +02:00
..
products feat: ProductMember — team management for product backlogs 2026-04-25 13:09:44 +02:00
profile/avatar feat: gebruikersprofiel met avatar, bio en uitgebreide beschrijving 2026-04-25 13:30:38 +02:00
sprints/[id]/tasks feat: ProductMember — team management for product backlogs 2026-04-25 13:09:44 +02:00
stories/[id] feat: ProductMember — team management for product backlogs 2026-04-25 13:09:44 +02:00
tasks/[id] fix: PATCH /api/tasks/:id geeft 403 bij cross-user toegang 2026-04-25 13:44:51 +02:00
todos feat: Todo altijd gekoppeld aan product backlog 2026-04-25 12:35:40 +02:00