Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Kofax Capture i koordynował proces ujawniania informacji. Atakujący może spreparować link, który – gdy zostanie użyty przez zalogowanego użytkownika – spowoduje wykonanie kodu JavaScript. Powodem jest niepoprawna walidacja danych przesyłanych metodą POST w końcówce "/sofer/DocumentService.asc/SaveAnnotation". Podatności nadany został identyfikator CVE-2023-5118.
Nie udało nam się skontaktować z producentem systemu w celu potwierdzenia zakresu podatnych wersji. Otrzymaliśmy informację od zgłaszających, iż podatność została usunięta w wersji systemu powyżej 11.1.x. Poprzednie wersje również mogą być podatne, jednak nie zostało to potwierdzone.
Podziękowania
Za zgłoszenie podatności dziękujemy Dawidowi Małeckiemu oraz Sławomirowi Zakrzewskiemu z firmy AFINE.
