Embedded Files
Dit artikel heeft betrekking op de APSB26-05 patch die op 10 maart 2026 is uitgebracht.
Onderdelen om te testen binnen deze patch
Onderdelen om te testen binnen deze patch
Nadat de patch beschikbaar is gesteld op de staging wordt het volgende aangeraden om te testen. Hierbij zijn punt 1 en 2 het meest relevant omdat die direct invloed hebben op de order-flow.
Belangrijkste onderdelen:
1. Order plaatsen voor ingelogde klanten
Plaats een order als ingelogde klant en controleer of je de order kunt afronden.
2. Order plaatsen voor niet-ingelogde klanten
Plaats een order als niet-ingelogde klant en controleer of je de order kunt afronden.
3. Email wijzigen ingelogde klant
Log in een klant/test account en wijzig het Emailadres
Technische informatie over de patch
Technische informatie over de patch
Added ownership checks to customer address lookups, preventing access to other customers' addresses.
Validated customer-to-address ownership when setting default billing/shipping addresses.
Fixed path traversal in admin WYSIWYG controller by enforcing media directory boundaries.
Added malicious code filtering to email and newsletter template previews to prevent stored XSS.
Blocked template directives in external URLs within email templates, preventing SSRF and data exfiltration.
Expanded HTML content filtration to catch malformed tag patterns that bypassed WYSIWYG sanitization.
Added internal URL validation to stock alert redirects, preventing open redirect attacks.
Fixed FedEx/USPS URL validation so invalid URLs can no longer bypass domain allowlist checks.
Tightened admin ACL on report export controllers from broad to granular per-report permissions.
Fixed property name casing in API input validation to prevent bypassing entity value checks.
Forced session invalidation and re-authentication when a customer's email address is changed.
Report abuse