Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu Kofax Capture
11 stycznia 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2023-5118
Data publikacji 11 stycznia 2024
Producent podatnego oprogramowania Kofax
Nazwa podatnego oprogramowania Capture
Podatne wersje do 11.0.0
Typ podatności (CWE) Stored XSS (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Kofax Capture i koordynował proces ujawniania informacji. Atakujący może spreparować link, który – gdy zostanie użyty przez zalogowanego użytkownika – spowoduje wykonanie kodu JavaScript. Powodem jest niepoprawna walidacja danych przesyłanych metodą POST w końcówce "/sofer/DocumentService.asc/SaveAnnotation". Podatności nadany został identyfikator CVE-2023-5118.

Nie udało nam się skontaktować z producentem oprogramowania w celu potwierdzenia zakresu podatnych wersji. Otrzymaliśmy informację od zgłaszających, że podatność została usunięta w wersji oprogramowania powyżej 11.1.x. Poprzednie wersje również mogą być podatne, jednak nie zostało to potwierdzone.

Podziękowania

Za zgłoszenie podatności dziękujemy Dawidowi Małeckiemu oraz Sławomirowi Zakrzewskiemu z firmy AFINE.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.