An issue in StrangeBee TheHive v.5.0.8, v.4.1.21 and Cortex v.3.1.6 allows a remote attacker to gain privileges via Active Directory authentication mechanism.

*   *   Actions
        
        Automate any workflow
        
    *   Packages
        
        Host and manage packages
        
    *   Security
        
        Find and fix vulnerabilities
        
    *   Codespaces
        
        Instant dev environments
        
    *   Copilot
        
        Write better code with AI
        
    *   Code review
        
        Manage code changes
        
    *   Issues
        
        Plan and track work
        
    *   Discussions
        
        Collaborate outside of code
        
    

*   *   GitHub Sponsors
        
        Fund open source developers
        
    
    *   The ReadME Project
        
        GitHub community articles
        
    
*   Pricing

**Search code, repositories, users, issues, pull requests...**

**Provide feedback**

**Saved searches****Use saved searches to filter your results more quickly**

Sign up

CVE-2023-39069: Security/Security advisories/SB-SEC-ADV-2022-001: Authentication bypass due to incomplete checks in the Active Directory authentication module.md at main · StrangeBeeCorp/Security

A reflected cross-site scripting (XSS) vulnerability in DevCode OpenSTAManager versions 2.4.24 to 2.4.47 may allow a remote attacker to execute arbitrary JavaScript in the web browser of a victim by injecting a malicious payload into the 'error' and 'error_description' parameters of 'oauth2.php'.

    

Il gestionale OpenSTAManager è un software open-source e web based, sviluppato dall'azienda informatica DevCode di Este per gestire ed archiviare il servizio di assistenza tecnica e la relativa fatturazione. Il nome del progetto deriva dalla parziale traduzione in inglese degli elementi principali che lo compongono: la natura open-source e il suo obiettivo quale Gestore del Servizio Tecnico di Assistenza.

Un software gestionale, identificato nell'insieme degli applicativi che automatizzano i processi di gestione all'interno delle aziende, appartiene solitamente a una specifica categoria del settore, specializzata negli ambiti di:

*   Gestione della contabilità;
*   Gestione del magazzino;
*   Gestione e ausilio della produzione;
*   Gestione e previsione dei budget aziendali;
*   Gestione ed analisi finanziaria.

Secondo questa definizione, OpenSTAManager riesce a generalizzare al proprio interno le funzionalità caratteristiche della contabilità e della gestione del magazzino, presentando inoltre moduli piuttosto avanzati e destinati a complementare l'attività aziendale in relazione agli interventi di assistenza della realtà lavorativa in oggetto.

La documentazione ufficiale è disponibile all'indirizzo https://docs.openstamanager.com/.

*   Requisiti
*   Installazione
    *   Versioni
    *   Build
    *   Strumenti di sviluppo e debug
*   Perché software open-source
*   Community
*   Contribuire
*   Sviluppatori
*   Licenza

**Requisiti**

L'installazione del gestionale richiede la presenza di un server web con abilitato il DBMS MySQL e il linguaggio di programmazione PHP.

PHP

EOL

Supportato

8.1

25/11/2024

❌

8.0

26/11/2023

✔️

7.4

28/11/2022

✔️

7.3

06/12/2021

✔️

7.2

30/11/2020

❌

MYSQL

EOL

Supportato

8.0

01/04/2026

✔️

5.7

21/10/2023

✔️

5.6

05/02/2021

❌

Per ulteriori informazioni sui pacchetti che forniscono questi elementi di default, visitare la sezione Installazione della documentazione.

**Installazione rapida**

git clone https://github.com/devcode-it/openstamanager.git
cd openstamanager

# Download di composer da https://getcomposer.org/download/

yarn develop-OSM

**Installazione**

Per procedere all'installazione è necessario seguire i seguenti punti:

1.  Scaricare una release ufficiale del progetto.
    
2.  Creare una cartella (ad esempio openstamanager) nella root del server web installato ed estrarvi il contenuto della release scaricata. Il percorso della cartella root del server varia in base al software in utilizzo:
    
    *   LAMP (/var/www/html)
    *   XAMPP (C:/xampp/htdocs per Windows, /opt/lampp/htdocs/ per Linux, /Applications/XAMPP/htdocs/ per MAC)
    *   WAMP (C:\wamp\www)
    *   MAMP (C:\MAMP\htdocs per Windows, /Applications/MAMP/htdocs per MAC)
3.  Creare un database vuoto (tramite PHPMyAdmin o riga di comando).
    
4.  Accedere a http://localhost/openstamanager dal vostro browser.
    
5.  Inserire i dati di configurazione per collegarsi al database.
    
6.  Procedere all'installazione del software, cliccando sul pulsante **Installa**.
    

**Attenzione**: è possibile che l'installazione richieda del tempo. Si consiglia pertanto di attendere almeno qualche minuto senza alcun cambiamento nella pagina di installazione (in particolare, della progress bar presente) prima di cercare una possibile soluzione nelle discussioni del forum o nella sezione dedicata.

**Versioni**

Per mantenere un elevato grado di trasparenza riguardo al ciclo delle release, seguiamo le linee guida Semantic Versioning (SemVer) per definire le versioni del progetto. Per vedere tutte le versioni disponibili al download, visitare la pagina relativa su GitHub (per versioni precedenti alla 2.3, visitare SourceForge).

Nel caso utilizziate il programma per uso commerciale, si consiglia di scaricare le release disponibili nel sito ufficiale del progetto (https://www.openstamanager.com), evitando di utilizzare direttamente il codice della repository. Se siete inoltre interessati a supporto e assistenza professionali, li potete richiedere nella sezione dedicata.

**Build**

Nel caso si stia utilizzando la versione direttamente ottenuta dalla repository di GitHub, è necessario eseguire i seguenti comandi da linea di comando per completare le dipendenze PHP (tramite Composer) e gli assets (tramite Yarn) del progetto.

php composer.phar install
yarn global add gulp
yarn install
gulp

In alternativa alla sequenza di comandi precedente, è possibile utilizzare il seguente comando (richiede l'installazione di GIT e Yarn, oltre che l'inserimento dell'archivio composer.phar nella cartella principale del progetto):

Per ulteriori informazioni, visitare le sezioni Assets e Framework della documentazione.

**Strumenti di sviluppo e debug**

Consigliamo di installare psalm e configurarlo nel proprio IDE se supportato, in modo che vengano eseguiti ulteriori controlli automatici sul codice scritto.

E' già configurato su **composer** l'inclusione di PHP-CS-Fixer, uno strumento che permette di formattare in modo uniforme il codice scritto. Si può configurare nel proprio IDE se supportato. Il percorso dell'eseguibile è vendor/bin/php-cs-fixer.

**Perché software open-source**

Il progetto è un software open-source perché permette agli utilizzatori di studiarne il funzionamento ed adattarlo alle proprie esigenze; inoltre, in ambito commerciale, non obbliga l'utilizzatore ad essere legato allo stesso fornitore di assistenza.

In questo modo è possibile ottenere un'ulteriore garanzia sul funzionamento del software, poiché chiunque ne abbia le capacità può verificarlo, escludendo mancanze in relazione alla sicurezza e alla privacy dei dati (caratteristica che il software proprietario non può offrire).

**Community**

La community è una componente importante in un progetto open-source, perché mette in contatto utenti e programmatori tra di loro e permette pertanto l'individuazione di soluzioni innovative e migliori.

Siamo presenti su Facebook, Twitter, YouTube e Mastodon e il nostro forum ufficiale è disponibile all'indirizzo https://forum.openstamanager.com, dove potete segnalare i vostri problemi e soddisfare le vostre curiosità nelle sezioni più adeguate.

**Contribuire**

Per poter contribuire ed eseguire i test automatici, si consiglia di seguire le indicazioni descritte all'interno della documentazione ufficiale.

Se volete contribuire attivamente con semplici migliorie o correzioni potete cercare tra le issue per i nuovi contributori.

**Bounty Program**

Potresti trovare degli issue contrassegnati con il label **bountysource**. Questo significa che è disponibile una ricompensa per chi risolverà l'issue secondo i criteri descritti all'interno. Devi creare innanzitutto un account su BountySource.com. Successivamente, il funzionamento sarà il seguente:

*   esegui un fork del repository
*   risolvi l'issue
*   invia una pull request

Verificheremo se la pull request soddisferà i requisiti e, una volta approvata, provvederemo ad accreditare la ricompensa nel tuo account di BountySource.

**Licenza**

Questo progetto è tutelato dalla licenza **GPL 3**.

CVE-2023-38878: GitHub - devcode-it/openstamanager: Il software gestionale open source per l'assistenza tecnica e la fatturazione

Magento LTS is the official OpenMage LTS codebase. Guest orders may be viewed without authentication using a "guest-view" cookie which contains the order's "protect_code". This code is 6 hexadecimal characters which is arguably not enough to prevent a brute-force attack. Exposing each order would require a separate brute force attack. This issue has been patched in versions 19.5.1 and 20.1.1.

CVE-2023-41879: Release v19.5.1 · OpenMage/magento-lts

In bindSelection of DatabaseUtils.java, there is a possible way to access files from other applications due to SQL injection. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation.

)\]}' { "commit": "23d156ed1bed6d2c2b325f0be540d0afca510c49", "tree": "f54e4f4739f4a720de25255369dd018bae3b8a54", "parents": \[ "192c7711c1adc835c06720d59ddacb86c5e32b5f" \], "author": { "name": "Krishang Garodia", "email": "krishang@google.com", "time": "Mon Jun 19 11:43:45 2023 +0000" }, "committer": { "name": "Android Build Coastguard Worker", "email": "android-build-coastguard-worker@google.com", "time": "Fri Jul 14 17:32:33 2023 +0000" }, "message": "Remove invalid surrogates during bindSelection\\n\\nTest: atest MediaProviderTests\\nBug: 223793631\\n(cherry picked from https://googleplex-android-review.googlesource.com/q/commit:108f736d0ec6e974c3f947e7e568845b7e039a0a)\\n(cherry picked from https://googleplex-android-review.googlesource.com/q/commit:a48b01f78f28fc642b144c673bfcd12ae78c5a73)\\nMerged-In: I18b879f1a51394b4739225ec88b862fd6d0d5526\\nChange-Id: I18b879f1a51394b4739225ec88b862fd6d0d5526\\n", "tree\_diff": \[ { "type": "modify", "old\_id": "55efafc7f79911ea4d1a6e57b01d745c277aaf4a", "old\_mode": 33188, "old\_path": "src/com/android/providers/media/util/DatabaseUtils.java", "new\_id": "53ecf964eef6d0a075c3af85a713744decb648f9", "new\_mode": 33188, "new\_path": "src/com/android/providers/media/util/DatabaseUtils.java" }, { "type": "modify", "old\_id": "685d897041ef04ba469574150494f0b0c1ed316d", "old\_mode": 33188, "old\_path": "tests/src/com/android/providers/media/util/DatabaseUtilsTest.java", "new\_id": "a907875898476236c1f5de7e25812fdf928509a1", "new\_mode": 33188, "new\_path": "tests/src/com/android/providers/media/util/DatabaseUtilsTest.java" } \] }

CVE-2023-35683

In hasPermissionForActivity of PackageManagerHelper.java, there is a possible way to start arbitrary components due to a confused deputy. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is needed for exploitation.

)\]}' { "commit": "09f8b0e52e45a0b39bab457534ba2e5ae91ffad0", "tree": "dbd3cd11150c6a5ea77d78e2afe420a578af4d1b", "parents": \[ "4d098abb45aa38004cc5057b6dc382a148b56f01" \], "author": { "name": "Pinyao Ting", "email": "pinyaoting@google.com", "time": "Thu Jun 01 18:12:44 2023 -0700" }, "committer": { "name": "Android Build Coastguard Worker", "email": "android-build-coastguard-worker@google.com", "time": "Fri Jul 14 17:31:09 2023 +0000" }, "message": "Fix permission issue in legacy shortcut\\n\\nWhen building legacy shortcut, Launcher calls\\nPackageManager#resolveActivity to retrieve necessary permission to\\nlaunch the intent.\\n\\nHowever, when the source app wraps an arbitrary intent within\\nIntent#createChooser, the existing logic will fail because launching\\nChooser doesn\\u0027t require additional permission.\\n\\nThis CL fixes the security vulnerability by performing the permission\\ncheck against the intent that is wrapped within.\\n\\nBug: 270152142\\nTest: manual\\n(cherry picked from https://googleplex-android-review.googlesource.com/q/commit:c53818a16b4322a823497726ac7e7a44501b4442)\\nMerged-In: If35344c08975e35085c7c2b9b814a3c457a144b0\\nChange-Id: If35344c08975e35085c7c2b9b814a3c457a144b0\\n", "tree\_diff": \[ { "type": "modify", "old\_id": "f42d30453b1727a5155f1bf5c56329e2c097b696", "old\_mode": 33188, "old\_path": "src/com/android/launcher3/util/PackageManagerHelper.java", "new\_id": "557d57e2d2d7efb4b310fe1bd1b8db50f9e86a71", "new\_mode": 33188, "new\_path": "src/com/android/launcher3/util/PackageManagerHelper.java" } \] }

CVE-2023-35682

In convertSubgraphFromHAL of ShimConverter.cpp, there is a possible out of bounds read due to a missing bounds check. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation.

)\]}' { "commit": "47299fd978258e67a8eebc361cb7a4dd2936205e", "tree": "075dc5c899ad93a3d58dda2207e8bd3c5c236388", "parents": \[ "016c65c282bc262d85d663ef6f8a978bd2a45848" \], "author": { "name": "Ian Hua", "email": "ianhua@google.com", "time": "Thu Jul 06 10:05:36 2023 +0000" }, "committer": { "name": "Android Build Coastguard Worker", "email": "android-build-coastguard-worker@google.com", "time": "Fri Jul 14 17:32:27 2023 +0000" }, "message": "Fix out of Bounds Read in convertSubgraphFromHAL in ShimConverter.cpp in libneuralnetworks\_shim\_static\\n\\nBug: 269270167\\nTest: N/A\\n(cherry picked from commit 4bf7bb6b50b412678a681d29f7ced70a4d737762)\\n(cherry picked from https://googleplex-android-review.googlesource.com/q/commit:244ac21307a785d49930d4c7e289b74856fa9647)\\nMerged-In: I33272284b965efcbb531f64cbf838a0d59c28e00\\nChange-Id: I33272284b965efcbb531f64cbf838a0d59c28e00\\n", "tree\_diff": \[ { "type": "modify", "old\_id": "1ed0e31cf87bdf6b2d75ad52bf21218a578ca666", "old\_mode": 33188, "old\_path": "shim\_and\_sl/ShimConverter.cpp", "new\_id": "4830c5d05d4e9f096d3b2ae9b232eb2497f9c9c9", "new\_mode": 33188, "new\_path": "shim\_and\_sl/ShimConverter.cpp" } \] }

CVE-2023-35664

In loadMediaResumptionControls of MediaResumeListener.kt, there is a possible way to play and listen to media files played by another user on the same device due to a logic error in the code. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation.

)\]}' { "commit": "c1cf4b9746c9641190730172522324ccd5b8c914", "tree": "8d25b1a0e76a99f4ad4862e72c3841c6d75925b4", "parents": \[ "f810d81839af38ee121c446105ca67cb12992fc6" \], "author": { "name": "Beth Thibodeau", "email": "ethibodeau@google.com", "time": "Thu Jun 22 18:26:44 2023 -0500" }, "committer": { "name": "Duy Truong", "email": "duytruong@google.com", "time": "Wed Jul 19 17:51:46 2023 -0700" }, "message": "Improve user handling when querying for resumable media\\n\\n- Before trying to query recent media from a saved component, check\\n whether the current user actually has that component installed\\n- Track user when creating the MediaBrowser, in case the user changes\\n before the MBS returns a result\\n\\nTest: atest MediaResumeListenerTest\\nBug: 284297711\\n(cherry picked from commit e566a250ad61e269119b475c7ebdae6ca962c4a7)\\n(cherry picked from https://googleplex-android-review.googlesource.com/q/commit:d61741288b4d7614e4677428aac6418f6f1d79f0)\\nMerged-In: I838ff0e125acadabc8436a00dbff707cc4be6249\\nChange-Id: I838ff0e125acadabc8436a00dbff707cc4be6249\\n", "tree\_diff": \[ { "type": "modify", "old\_id": "cc06b6c678794756e09fb5a2915727137f21fc48", "old\_mode": 33188, "old\_path": "packages/SystemUI/src/com/android/systemui/media/MediaResumeListener.kt", "new\_id": "bad87de438e5f4c5e6154f606bd673e1ebc21bab", "new\_mode": 33188, "new\_path": "packages/SystemUI/src/com/android/systemui/media/MediaResumeListener.kt" }, { "type": "modify", "old\_id": "40a5653a15a0e4d787714c00a042d64f3b868a4a", "old\_mode": 33188, "old\_path": "packages/SystemUI/src/com/android/systemui/media/ResumeMediaBrowser.java", "new\_id": "018697f772e0024ea6101501a62e55027b23ca1b", "new\_mode": 33188, "new\_path": "packages/SystemUI/src/com/android/systemui/media/ResumeMediaBrowser.java" }, { "type": "modify", "old\_id": "3d1380b6bd243ccaa79bb1f4fc512444f9ab4494", "old\_mode": 33188, "old\_path": "packages/SystemUI/src/com/android/systemui/media/ResumeMediaBrowserFactory.java", "new\_id": "fca0ab7e531650f01663aceb0f770b098ccf232c", "new\_mode": 33188, "new\_path": "packages/SystemUI/src/com/android/systemui/media/ResumeMediaBrowserFactory.java" }, { "type": "modify", "old\_id": "3d3ac836d26499639288249db236b2c7a4b405d5", "old\_mode": 33188, "old\_path": "packages/SystemUI/tests/src/com/android/systemui/media/MediaResumeListenerTest.kt", "new\_id": "e7df1a219d3e2502da142a8be84371d63ef4f99e", "new\_mode": 33188, "new\_path": "packages/SystemUI/tests/src/com/android/systemui/media/MediaResumeListenerTest.kt" }, { "type": "modify", "old\_id": "dafaa6b936968ea7f59078be6405875b43444421", "old\_mode": 33188, "old\_path": "packages/SystemUI/tests/src/com/android/systemui/media/ResumeMediaBrowserTest.kt", "new\_id": "e3134d482955c2aa56ecd990be5bedd4af6abe43", "new\_mode": 33188, "new\_path": "packages/SystemUI/tests/src/com/android/systemui/media/ResumeMediaBrowserTest.kt" } \] }

CVE-2023-35675

In eatt_l2cap_reconfig_completed of eatt_impl.h, there is a possible out of bounds write due to an integer overflow. This could lead to remote code execution with no additional execution privileges needed. User interaction is not needed for exploitation.

)\]}' { "commit": "d8d95291f16a8f18f8ffbd6322c14686897c5730", "tree": "1ddeb1141fe0fb7b0deacbea1f39cfcc5b6cf520", "parents": \[ "24a10ec636b30c59dbaadfeb13fbfaca5d74a23b" \], "author": { "name": "Hui Peng", "email": "phui@google.com", "time": "Thu May 11 01:10:04 2023 +0000" }, "committer": { "name": "Android Build Coastguard Worker", "email": "android-build-coastguard-worker@google.com", "time": "Fri Jul 14 17:31:54 2023 +0000" }, "message": "Fix multiple OOB bugs resulted from tx mtu in EATT\\n\\nThe tx mtu in EATT can be controlled by remote device. With malicious\\nmtu values, it is possible to trigger integer overflow and\\nOOB write at multiple places (see the bug below).\\n\\nThis fix enforces a max tx mtu in EATT.\\n\\nBug: 271335899\\nTest: manual\\nIgnore-AOSP-First: security\\nTag: #security\\n(cherry picked from https://googleplex-android-review.googlesource.com/q/commit:ea76b7d99e6366e2043c5621eda630d559104d36)\\nMerged-In: Ia06c9a17f2daa5ce4c32cffa536777f47774cf31\\nChange-Id: Ia06c9a17f2daa5ce4c32cffa536777f47774cf31\\n", "tree\_diff": \[ { "type": "modify", "old\_id": "2eac63118d72fe8cfea93d5349773e9f0dde5b2c", "old\_mode": 33188, "old\_path": "system/stack/eatt/eatt.h", "new\_id": "92b61c533ee590914b083edca0dcb2a3edd5c33a", "new\_mode": 33188, "new\_path": "system/stack/eatt/eatt.h" }, { "type": "modify", "old\_id": "0324808680145a4a66dcceda91bbbf09dc4d36da", "old\_mode": 33188, "old\_path": "system/stack/eatt/eatt\_impl.h", "new\_id": "67587c61803dbc1fbb8227ba1a608c01100ec3ff", "new\_mode": 33188, "new\_path": "system/stack/eatt/eatt\_impl.h" } \] }

CVE-2023-35681

In createQuickShareAction of SaveImageInBackgroundTask.java, there is a possible way to trigger a background activity launch due to an unsafe PendingIntent. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

)\]}' { "commit": "109e58b62dc9fedcee93983678ef9d4931e72afa", "tree": "7ef156a2d1225c1cb3d43620732bf609091ed48a", "parents": \[ "05b1ada4ed1326d7ad781142f4fff0de70dffeff" \], "author": { "name": "Miranda Kephart", "email": "mkephart@google.com", "time": "Fri Apr 28 10:58:46 2023 -0400" }, "committer": { "name": "Android Build Coastguard Worker", "email": "android-build-coastguard-worker@google.com", "time": "Fri Jul 14 17:30:22 2023 +0000" }, "message": "\[DO NOT MERGE\] Update quickshare intent rather than recreating\\n\\nCurrently, we extract the quickshare intent and re-wrap it as a new\\nPendingIntent once we get the screenshot URI. This is insecure as\\nit leads to executing the original with SysUI\\u0027s permissions, which\\nthe app may not have. This change switches to using Intent.fillin\\nto add the URI, keeping the original PendingIntent and original\\npermission set.\\n\\nBug: 278720336\\nTest: manual (to test successful quickshare), atest\\nSaveImageInBackgroundTaskTest (to verify original pending intent\\nunchanged)\\n(cherry picked from https://googleplex-android-review.googlesource.com/q/commit:02938e8ccae910d96578475a19dff0a5e746b03d)\\nMerged-In: Icad3d5f939fcfb894e2038948954bc2735dbe326\\nChange-Id: Icad3d5f939fcfb894e2038948954bc2735dbe326\\n", "tree\_diff": \[ { "type": "modify", "old\_id": "50ee1f7ba97aabd377d1838b2cb3e17c46a909c9", "old\_mode": 33188, "old\_path": "packages/SystemUI/src/com/android/systemui/screenshot/SaveImageInBackgroundTask.java", "new\_id": "f4a257fdd3ec7b6b5c97b8e6252f6ddf7059ddcc", "new\_mode": 33188, "new\_path": "packages/SystemUI/src/com/android/systemui/screenshot/SaveImageInBackgroundTask.java" }, { "type": "modify", "old\_id": "5b6e5ce95b1483c83098f72fa5cb7051bb92425d", "old\_mode": 33188, "old\_path": "packages/SystemUI/src/com/android/systemui/screenshot/ScreenshotController.java", "new\_id": "5928c9ec608589e9b245e5a4950db5077bb75c2c", "new\_mode": 33188, "new\_path": "packages/SystemUI/src/com/android/systemui/screenshot/ScreenshotController.java" }, { "type": "modify", "old\_id": "f703058f4a0fb6251bcf51e099b79bb58d1e82a2", "old\_mode": 33188, "old\_path": "packages/SystemUI/src/com/android/systemui/screenshot/SmartActionsReceiver.java", "new\_id": "ecc13ee747c8b4e116310436832ba03599c137c6", "new\_mode": 33188, "new\_path": "packages/SystemUI/src/com/android/systemui/screenshot/SmartActionsReceiver.java" }, { "type": "add", "old\_id": "0000000000000000000000000000000000000000", "old\_mode": 0, "old\_path": "/dev/null", "new\_id": "03f8c93942184a59caa0ba86a737fa45e043b24e", "new\_mode": 33188, "new\_path": "packages/SystemUI/tests/src/com/android/systemui/screenshot/SaveImageInBackgroundTaskTest.kt" } \] }

CVE-2023-35676

Relative Path Traversal in GitHub repository mintplex-labs/anything-llm prior to 0.0.1.

Expand Up

@@ -24,6 +24,7 @@ const { User } = require("../models/user");

const { validatedRequest } \= require("../utils/middleware/validatedRequest");

const { handleImports } \= setupDataImports();

const { handleLogoUploads } \= setupLogoUploads();

const fs \= require("fs");

const path \= require("path");

const {

getDefaultFilename,

Expand Down Expand Up

@@ -315,9 +316,21 @@ function systemEndpoints(app) {

"/system/data-exports/:filename",

\[validatedRequest\],

(request, response) \=> {

const filePath \=

\_\_dirname + "/../storage/exports/" + request.params.filename;

response.download(filePath, request.params.filename, (err) \=> {

const exportLocation \= \_\_dirname + "/../storage/exports/";

const sanitized \= path

.normalize(request.params.filename)

.replace(/^(\\.\\.(\\/|\\\\|$))+/, "");

const finalDestination \= path.join(exportLocation, sanitized);

  

if (!fs.existsSync(finalDestination)) {

response.status(404).json({

error: 404,

msg: \`File ${request.params.filename} does not exist in exports.\`,

});

return;

}

  

response.download(finalDestination, request.params.filename, (err) \=> {

if (err) {

response.send({

error: err,

Expand Down Expand Up

@@ -448,13 +461,11 @@ function systemEndpoints(app) {

response.status(200).json({ canDelete });

} catch (error) {

console.error("Error fetching can delete workspaces:", error);

response

.status(500)

.json({

success: false,

message: "Internal server error",

canDelete: false,

});

response.status(500).json({

success: false,

message: "Internal server error",

canDelete: false,

});

}

}

);

Expand Down