Certifique-se de que a Pesquisa contextual não contenha um redirecionamento não validado [Novo na Central de segurança 7,0]

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura
  • Impedir que os resultados da Pesquisa contextual contenham links de referência fora do domínio atual com uma propriedade do sistema.

    O plug-in Pesquisa contextual exibe os resultados da pesquisa em uma nova janela usando cxs_new_windowPágina de IU. Esta página de IU contém um link de referência que pode ser definido fornecendo um valor para sysparm_url. . com.snc.contextual_search.cxs_new_window.force_relative_linka propriedade do sistema está definida como verdadeiro , sysparm_urlsó pode conter links relativos ao domínio atual. Esta restrição impede que a página de IU seja usada como um redirecionamento não validado para um site controlado pelo invasor. Quando a propriedade está definida como falso , sysparm_urlpode vincular a qualquer site.

    Defina com.snc.contextual_search.cxs_new_window.force_relative_linkpropriedade para verdadeiro . Se a propriedade não existir na tabela Propriedades do sistema [sys_properties], o valor padrão será falso . Se a propriedade existir na tabela, o padrão será verdadeiro .

    Mais informações

    Atributo Descrição
    Nome da configuração com.snc.contextual_search.cxs_new_window.force_relative_link
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Tipo de dados Booliano
    Valor recomendado verdadeiro
    Valor-padrão verdadeiro
    Valor de fallback falso
    Categoria Validação, limpeza e codificação
    Risco à segurança
    • Pontuação de gravidade: 3,1
    • Pontuação do CVSS: média
    • Quando definido como falso , sysparm_urlPode vincular a qualquer site, o que permite que a página de IU seja usada como um redirecionamento não validado para um site controlado pelo invasor.

    Impacto funcional Quando definido como verdadeiro , sysparm_urlsó pode conter links relativos ao domínio atual. Essa restrição significa que a página de IU só pode vincular a páginas da Web no domínio atual. No entanto, a página de IU deve exibir os resultados de pesquisa do domínio atual e só deve ser vinculada ao domínio atual.
    Dependências e pré-requisitos O plug-in Pesquisa contextual (com.snc.contextual_search) deve estar ativo.

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.