De API van Querybuilder omzeilt de verzendingsfilters en stelt gevoelige informatie bloot

Dit artikel verhelpt een toegangsbeheerprobleem in Adobe Experience Manager as a Cloud Service (AEMaaCS) waar de Querybuilder-API verzendingsfilters kan omzeilen, waardoor gevoelige informatie mogelijk toegankelijk wordt. De resolutie omvat het bijwerken van de configuratie om onbevoegde toegang tot specifieke eindpunten te blokkeren.

Beschrijving description

Omgeving
Product: Adobe Experience Manager (AEM) als Cloud Service - Sites

Probleem/symptomen
Verzoeken naar specifieke eindpunten, zoals /bin/querybuilder.json of /etc/truststore.json, passeren verzendersfilters wanneer gecodeerde schuine strepen (%2F) worden gebruikt in de URL. Hierdoor heeft onbevoegde toegang tot interne knooppunten en gevoelige bestanden.

Resolutie resolution

Ga als volgt te werk om dit probleem op te lossen:

Open elk betrokken virtueel dossier van de gastheerconfiguratie.

Zoek de < VirtualHost > -tag in het configuratiebestand.

Voeg het volgende blok LocationMatch binnen de < VirtualHost > markering toe:

< LocationMatch "(?i)/(etc/truststore.json|bin/querybuilder.json) (;|%3B)">
    ProxyPass "!"
< /LocationMatch >

Sla de wijzigingen in het configuratiebestand van de virtuele host op.

Test door een verzoek te verzenden gelijkend op http://localhost:8082/%2fbin%2fquerybuilder.json?path=/etc. Zorg ervoor dat er een fout van 404 Niet gevonden wordt geretourneerd, die aangeeft dat gecodeerde schuine strepen op Apache-niveau zijn geblokkeerd voordat ze naar Dispatcher gaan.