Por Rodolfo Tavares e Niklas Corrêa
Como parte dos resultados de pesquisa da equipe de Consultoria Técnica da Tempest, foi possível identificar e reportar vulnerabilidades que afetam o LumisXP, as quais foram registradas pelo MITRE através dos seguintes identificadores:
- CVE-2024-33326: Vulnerabilidade de Cross-Site Scripting (XSS) na página `XsltResultControllerHtml.jsp` nas versões 15.0.x a 16.1.x do LumisXP.
- CVE-2024-33327: Vulnerabilidade de Cross-Site Scripting (XSS) na página `UrlAccessibilityEvaluation.jsp` nas versões 15.0.x a 16.1.x do LumisXP.
- CVE-2024-33328: Vulnerabilidade de Cross-Site Scripting (XSS) na página `main.jsp` nas versões 15.0.x a 16.1.x do LumisXP.
- CVE-2024-33329: Vulnerabilidade causada pelo uso de GUID fixos verificados nas versões 15.0.x a 16.1.x do LumisXP.
As quatro falhas exploram problemas distintos, mas relacionados ao controle de entrada inadequado e uso de GUID fixos:
- CVE-2024-33326: Permite a execução de scripts arbitrários ao injetar códigos maliciosos no parâmetro `lumPageID` da página `XsltResultControllerHtml.jsp`.
- CVE-2024-33327: Exploração de XSS na página `UrlAccessibilityEvaluation.jsp` através do parâmetro `contentHtml`.
- CVE-2024-33328: Permite a execução de scripts arbitrários ao injetar códigos maliciosos no parâmetro `pageId` da página `main.jsp`.
- CVE-2024-33329: Uso de GUID embutidos que permite acesso não autorizado a páginas internas e informações sensíveis do LumisXP.
Ao explorar as falhas descritas nestes CVEs, torna-se possível executar scripts maliciosos, obter informações sensíveis, e acessar páginas internas do sistema LumisXP. Todas as explorações abordadas podem ser realizadas de forma não autenticada e remota.
As vulnerabilidades abordadas nessa publicação foram reportadas a Lumis, que resolveu as falhas que estavam afetando o framework LumisXP. Detalhes técnicos sobre as falhas identificadas estão disponíveis em: