A API do Querybuilder ignora filtros do dispatcher e expõe informações confidenciais

Este artigo aborda um problema de controle de acesso no Adobe Experience Manager as a Cloud Service (AEMaaCS) em que a API do Querybuilder pode ignorar os filtros do dispatcher, expondo potencialmente informações confidenciais. A resolução envolve a atualização da configuração para bloquear o acesso não autorizado a endpoints específicos.

Descrição description

Ambiente
Produto: Adobe Experience Manager (AEM) as Cloud Service - Sites

Problema/Sintomas
Solicitações para endpoints específicos, como /bin/querybuilder.json ou /etc/truststore.json, ignoram os filtros do Dispatcher quando barras codificadas (%2F) são usadas no URL. Isso permite acesso não autorizado a nós internos e arquivos confidenciais.

Resolução resolution

Para resolver esse problema, siga estas etapas:

Abra cada arquivo de configuração de host virtual afetado.

Localize a marca < VirtualHost> no arquivo de configuração.

Adicione o seguinte bloco LocationMatch dentro da marca < VirtualHost>:

< LocationMatch "(?i)/(etc/truststore.json|bin/querybuilder.json)(;|%3B)">
    ProxyPass "!"
< /LocationMatch>

Salve as alterações no arquivo de configuração do host virtual.

Teste enviando uma solicitação semelhante a http://localhost:8082/%2fbin%2fquerybuilder.json?path=/etc. Certifique-se de que ele retorne um erro 404 Não encontrado, indicando que as barras codificadas estão bloqueadas no nível do Apache antes de chegar ao Dispatcher.