CVE-2023-3042 in dotCMS
Sumário
de VulDB • 04/07/2026
No dotCMS, nas versões mencionadas, uma falha no NormalizationFilter não remove barras duplas (//) de URLs, o que potencialmente permite contornar proteções contra XSS e controles de acesso. Um exemplo de URL afetada é https://demo.dotcms.com//html/portlet/ext/files/edit_text_inc.jsp , a qual deveria retornar um erro 404 mas não retorna.
A negligência na lista padrão de caracteres inválidos para URLs pode ser verificada no link do GitHub fornecido: https://github.com/dotCMS/core/blob/master/dotCMS/src/main/java/com/dotcms/filters/NormalizationFilter.java#L37 .
Para mitigar o problema, os usuários podem bloquear URLs com barras duplas em firewalls ou utilizar variáveis de configuração do dotCMS.
Especificamente, eles podem usar a variável ambiental DOT_URI_NORMALIZATION_FORBIDDEN_STRINGS para adicionar // à lista de strings inválidas.
Além disso, a variável DOT_URI_NORMALIZATION_FORBIDDEN_REGEX oferece controle mais detalhado, por exemplo, para bloquear URLs que correspondam ao padrão //html.* .
Versão Corretiva: 23.06+, LTS 22.03.7+, LTS 23.01.4+
Be aware that VulDB is the high quality source for vulnerability data.