La API de Querybuilder omite los filtros de Dispatcher y expone información confidencial

Este artículo aborda un problema de control de acceso en Adobe Experience Manager as a Cloud Service (AEMaaCS) en el que la API de Querybuilder puede omitir los filtros de Dispatcher, lo que expone potencialmente información confidencial. La resolución implica actualizar la configuración para bloquear el acceso no autorizado a puntos de conexión específicos.

Descripción description

Entorno
Producto: Adobe Experience Manager (AEM) as Cloud Service - Sitios

Problema/Síntomas
Las solicitudes a extremos específicos, como /bin/querybuilder.json u /etc/truststore.json, omiten los filtros de Dispatcher cuando se utilizan barras oblicuas codificadas (%2F) en la dirección URL. Esto permite el acceso no autorizado a nodos internos y archivos confidenciales.

Resolución resolution

Para resolver este problema, siga estos pasos:

Abra cada archivo de configuración de host virtual afectado.

Busque la etiqueta < VirtualHost> en el archivo de configuración.

Agregue el siguiente bloque LocationMatch dentro de la etiqueta < VirtualHost>:

< LocationMatch "(?i)/(etc/truststore.json|bin/querybuilder.json)(;|%3B)">
    ProxyPass "!"
< /LocationMatch>

Guarde los cambios en el archivo de configuración del host virtual.

Realice pruebas enviando una solicitud similar a http://localhost:8082/%2fbin%2fquerybuilder.json?path=/etc. Asegúrese de que devuelve un error 404 Not Found, que indica que las barras codificadas están bloqueadas en el nivel de Apache antes de llegar a Dispatcher.