Podatność w oprogramowaniu Kofax Capture

cert.pl 11 miesięcy temu

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Kofax Capture i koordynował proces ujawniania informacji. Atakujący może spreparować link, który – gdy zostanie użyty przez zalogowanego użytkownika – spowoduje wykonanie kodu JavaScript. Powodem jest niepoprawna walidacja danych przesyłanych metodą POST w końcówce "/sofer/DocumentService.asc/SaveAnnotation". Podatności nadany został identyfikator CVE-2023-5118.

Nie udało nam się skontaktować z producentem systemu w celu potwierdzenia zakresu podatnych wersji. Otrzymaliśmy informację od zgłaszających, iż podatność została usunięta w wersji systemu powyżej 11.1.x. Poprzednie wersje również mogą być podatne, jednak nie zostało to potwierdzone.

Podziękowania

Za zgłoszenie podatności dziękujemy Dawidowi Małeckiemu oraz Sławomirowi Zakrzewskiemu z firmy AFINE.

Idź do oryginalnego materiału