Garantir que la recherche contextuelle ne contient pas de redirection non validée [nouveau dans Security Center 7.0]

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Empêchez les résultats de Recherche contextuelle de contenir des liens de référence en dehors du domaine actuel avec une propriété système.

    Le module d’extension Recherche contextuelle affiche les résultats de la recherche dans une nouvelle fenêtre à l’aide de la page de l’interface cxs_new_window utilisateur. Cette page d’interface utilisateur contient un lien de référence qui peut être défini en fournissant une valeur à sysparm_url. Lorsque la com.snc.contextual_search.cxs_new_window.force_relative_link propriété système est définie sur vrai, sysparm_url elle ne peut contenir que des liens relatifs au domaine actuel. Cette restriction empêche la page d’interface utilisateur d’être utilisée comme une redirection non validée vers un site Web contrôlé par des attaquants. Lorsque la propriété est définie sur faux, sysparm_url peut créer un lien vers n’importe quel site web.

    Définissez la com.snc.contextual_search.cxs_new_window.force_relative_link propriété sur vrai. Si la propriété n’existe pas dans la table Propriétés système [sys_properties], la valeur par défaut est faux. Si la propriété existe dans la table, elle est définie par défaut sur true.

    En savoir plus

    Attribut Description
    Nom de la configuration com.snc.contextual_search.cxs_new_window.force_relative_link
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Booléen
    Valeur recommandée vrai
    Valeur par défaut vrai
    Valeur de secours Faux
    Catégorie Validation, nettoyage et codage
    Risque de sécurité
    • Score de gravité : 3,1
    • Score CVSS : moyen

    • Lorsqu’il est défini sur faux, sysparm_url il peut être lié à n’importe quel site web, ce qui permet d’utiliser la page de l’interface utilisateur comme une redirection non validée vers un site web contrôlé par l’attaquant.
    Impact fonctionnel Quand elle est définie sur vrai, sysparm_url elle est autorisée à contenir uniquement des liens relatifs au domaine actuel. Cette restriction signifie que la page de l’interface utilisateur ne peut être liée qu’à des pages Web du domaine actuel. Toutefois, la page d’interface utilisateur est destinée à afficher les résultats de recherche du domaine actuel et ne doit être liée qu’au domaine actuel.
    Dépendances et prérequis Le module d’extension Recherche contextuelle (com.snc.contextual_search) doit être actif.

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.