CVE-2023-3042 in dotCMSinformação

Sumário

de VulDB • 04/07/2026

No dotCMS, nas versões mencionadas, uma falha no NormalizationFilter não remove barras duplas (//) de URLs, o que potencialmente permite contornar proteções contra XSS e controles de acesso. Um exemplo de URL afetada é https://demo.dotcms.com//html/portlet/ext/files/edit_text_inc.jsp , a qual deveria retornar um erro 404 mas não retorna.

A negligência na lista padrão de caracteres inválidos para URLs pode ser verificada no link do GitHub fornecido: https://github.com/dotCMS/core/blob/master/dotCMS/src/main/java/com/dotcms/filters/NormalizationFilter.java#L37 .

Para mitigar o problema, os usuários podem bloquear URLs com barras duplas em firewalls ou utilizar variáveis de configuração do dotCMS.

Especificamente, eles podem usar a variável ambiental DOT_URI_NORMALIZATION_FORBIDDEN_STRINGS para adicionar // à lista de strings inválidas.

Além disso, a variável DOT_URI_NORMALIZATION_FORBIDDEN_REGEX oferece controle mais detalhado, por exemplo, para bloquear URLs que correspondam ao padrão //html.* .

Versão Corretiva: 23.06+, LTS 22.03.7+, LTS 23.01.4+

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

dotCMS LLC

Reservar

01/06/2023

Divulgação

25/10/2023

Moderação

aceite

Entrada

VDB-242840

CPE

pronto

EPSS

0.00357

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!