Skip to main content

Vulnerabilidad en el software Kofax Capture

mayo 29, 2024


ID CVE CVE-2023-5118
Fecha de publicación 11 de enero de 2024
Proveedor cofax
Producto Captura
Versiones vulnerables hasta 11.0.0
Tipo de vulnerabilidad (CWE) XSS almacenado (CWE-79)
Fuente del informe Informe al CERT Polonia

Descripción

CERT Polska ha recibido un informe sobre una vulnerabilidad en Captura Kofax software y participó en la coordinación de su divulgación. La aplicación es vulnerable a los scripts almacenados entre sitios (XSS) en el punto final /sofer/DocumentService.asc/SaveAnnotation, donde los datos de entrada transmitidos mediante el método POST en los parámetros autor y texto no se desinfectan ni validan adecuadamente. Esto permite la inyección de código JavaScript malicioso. La vulnerabilidad fue identificada en la función para agregar nuevas anotaciones mientras se edita el contenido del documento. A la debilidad se le ha asignado el número. CVE-2023-5118.

No pudimos comunicarnos con el fabricante del software para confirmar el alcance de las versiones afectadas. Recibimos información de los periodistas de que la vulnerabilidad se ha eliminado en versiones de software superiores a 11.1.x. Las versiones anteriores también pueden ser vulnerables, pero esto no ha sido confirmado.

Créditos

Agradecemos a Dawid Małecki y Sławomir Zakrzewski del equipo de AFINE por el informe de vulnerabilidad responsable.


Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.



Source link

Saber más  El ataque a Tietoevry sacó a la superficie el seguro cibernético: cubren esos daños
Translate »