Vulnerabilidad en el software Kofax Capture
ID CVE | CVE-2023-5118 |
Fecha de publicación | 11 de enero de 2024 |
Proveedor | cofax |
Producto | Captura |
Versiones vulnerables | hasta 11.0.0 |
Tipo de vulnerabilidad (CWE) | XSS almacenado (CWE-79) |
Fuente del informe | Informe al CERT Polonia |
Descripción
CERT Polska ha recibido un informe sobre una vulnerabilidad en Captura Kofax software y participó en la coordinación de su divulgación. La aplicación es vulnerable a los scripts almacenados entre sitios (XSS) en el punto final /sofer/DocumentService.asc/SaveAnnotation
, donde los datos de entrada transmitidos mediante el método POST en los parámetros autor y texto no se desinfectan ni validan adecuadamente. Esto permite la inyección de código JavaScript malicioso. La vulnerabilidad fue identificada en la función para agregar nuevas anotaciones mientras se edita el contenido del documento. A la debilidad se le ha asignado el número. CVE-2023-5118.
No pudimos comunicarnos con el fabricante del software para confirmar el alcance de las versiones afectadas. Recibimos información de los periodistas de que la vulnerabilidad se ha eliminado en versiones de software superiores a 11.1.x. Las versiones anteriores también pueden ser vulnerables, pero esto no ha sido confirmado.
Créditos
Agradecemos a Dawid Małecki y Sławomir Zakrzewski del equipo de AFINE por el informe de vulnerabilidad responsable.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.