hykocx
49ddcc02fc
- **CSRF**: Change missing `ZEN_APP_URL` behavior from bypass (return `true`) to enforced deny (return `false`) with an error-level log, preventing unauthenticated access when the env var is misconfigured - **Version endpoint**: Require authentication on the `/version` route by passing `request` to `handleVersion`; add session/token validation inside the handler so version info is no longer publicly accessible - **Storage handler**: Enforce a minimum path depth of 3 segments for public blog file access to prevent unintentional root-prefix exposure; strip raw storage error messages (bucket names, keys) from all client responses, logging full details server-side only - **SQL injection hardening**: Wrap the whitelisted `sortColumn` identifier in double-quotes in the `handleListUsers` query to enforce identifier boundaries and prevent any edge case from being interpreted as SQL syntax - **Misc**: Improve log clarity for orphaned profile picture deletion failures; add inline comments explaining security rationale throughout
zen
Un CMS Next.js construit sur l'essentiel, rien de plus, rien de moins.
Warning
Ce projet est en développement actif et n'est pas encore prêt pour une utilisation en production. L'API, la structure et les fonctionnalités peuvent changer à tout moment.
Fonctionnalités
- Système de modules dynamiques - Créez des modules sans modifier le code principal
- Authentification - Authentification et autorisation des utilisateurs intégrées
- Tableau de bord - Génération automatique d'interfaces d'administrations
- Routeur API - API RESTful avec authentification
- Système d'emails - Templates d'emails avec React Email
- Stockage - Stockage de fichiers compatible S3
- Paiements - Intégration Stripe
- Tâches planifiées - Gestion des tâches programmées
Démarrage
Pour les instructions d'installation et de configuration, voir INSTALL.md.
Développement
Pour contribuer au projet, voir CONTRIBUTING.md et DEV.md.
Pour signaler une faille de sécurité, voir SECURITY.md.