L’API di Querybuilder ignora i filtri del dispatcher ed espone le informazioni sensibili

Questo articolo affronta un problema di controllo degli accessi in Adobe Experience Manager as a Cloud Service (AEMaaCS), in cui l’API Querybuilder può ignorare i filtri del dispatcher ed esporre potenzialmente informazioni riservate. La risoluzione comporta l’aggiornamento della configurazione per bloccare l’accesso non autorizzato a endpoint specifici.

Descrizione description

Ambiente
Prodotto: Adobe Experience Manager (AEM) as Cloud Service - Sites

Problema/Sintomi
Le richieste a endpoint specifici, ad esempio /bin/querybuilder.json o /etc/truststore.json, ignorano i filtri del dispatcher quando nell’URL vengono utilizzate barre codificate (%2F). Questo consente l’accesso non autorizzato ai nodi interni e ai file sensibili.

Risoluzione resolution

Per risolvere il problema, eseguire la procedura seguente:

Aprire ogni file di configurazione host virtuale interessato.

Individuare il tag < VirtualHost> nel file di configurazione.

Aggiungi il seguente blocco LocationMatch all'interno del tag < VirtualHost>:

< LocationMatch "(?i)/(etc/truststore.json|bin/querybuilder.json)(;|%3B)">
    ProxyPass "!"
< /LocationMatch>

Salvare le modifiche apportate al file di configurazione dell'host virtuale.

Eseguire il test inviando una richiesta simile a http://localhost:8082/%2fbin%2fquerybuilder.json?path=/etc. Assicurati che venga restituito un errore 404 Not Found (Non trovato), a indicare che le barre codificate sono bloccate a livello di Apache prima di raggiungere Dispatcher.