Querybuilder API는 Dispatcher 필터를 무시하고 중요한 정보를 노출합니다

이 문서에서는 Querybuilder API가 Dispatcher 필터를 우회하여 중요한 정보를 노출할 수 있는 Adobe Experience Manager as a Cloud Service(AEMaaCS)의 액세스 제어 문제를 해결합니다. 해결 방법에는 특정 끝점에 대한 무단 액세스를 차단하도록 구성을 업데이트하는 작업이 포함됩니다.

설명 description

환경
제품: Adobe Experience Manager(AEM) as Cloud Service - Sites

문제/증상
/bin/querybuilder.json 또는 /etc/truststore.json과 같은 특정 끝점에 대한 요청은 인코딩된 슬래시(%2F)가 URL에 사용될 때 Dispatcher 필터를 무시합니다. 이렇게 하면 내부 노드 및 중요한 파일에 대한 무단 액세스를 허용합니다.

해결 방법 resolution

이 문제를 해결하려면 다음 단계를 수행합니다.

영향을 받는 각 가상 호스트 구성 파일을 엽니다.

구성 파일에서 < VirtualHost> 태그를 찾습니다.

< VirtualHost> 태그 내에 다음 LocationMatch 블록을 추가하십시오.

< 위치 일치 "(?i)/(etc/truststore.json|bin/querybuilder.json)(;|%3B)">
    ProxyPass "!"
< /LocationMatch>

가상 호스트 구성 파일에 변경 사항을 저장합니다.

http://localhost:8082/%2fbin%2fquerybuilder.json?path=/etc와 유사한 요청을 보내 테스트합니다. Dispatcher에 도달하기 전에 인코딩된 슬래시가 Apache 수준에서 차단되었음을 나타내는 404 Not Found 오류가 반환되는지 확인하십시오.