挪威软件公司Ibexa敦促用户立即应用新补丁，以解决影响其数字体验平台(DXP)的敏感数据泄漏漏洞。DXP是一种企业对企业应用程序，包括电子商务、数据管理、云托管和内容管理系统(CMS)功能。该缺陷存在于Ibexa的GraphQL Bundle中，这是Ibexa DXP和Ibexa Open Source的GraphQL服务器实现。GraphQL是一种用于API的开源数据查询语言。

“不幸的是，这是一个关键问题。一方面是因为它可能会泄露密码哈希（不是密码）、哈希类型、电子邮件地址和某些用户（通常是编辑和管理员）的登录名，另一方面是因为这些用户随后必须更改他们的密码，以防出现泄漏， ”负责Ibexa产品安全工作的Gunnstein Lye说。

但是，跟踪为CVE-2022-41876的“严重”错误最终被GitHub分配为“高”CVSS严重性评分7.5，然后被NIST(CVSS 5.3)分配为“中”。

11月11日，Ibexa发布了一份关于该问题和其他三个不太严重的漏洞的安全公告。

哈希泄漏漏洞源于ezplatform-graphql端点如何不安全地存储敏感信息，从而允许攻击者为用户帐户发送未经身份验证的 GraphQL 查询。

“在许多情况下，只有管理员和编辑受到影响，因为最终用户通常没有所需的权限，”咨询指出。但是，如果易受攻击的安装还允许用户生成内容，那么这可能会将安全问题扩大到管理员和编辑帐户的范围之外。

这些漏洞已在Ibexa DXP v3.3.28、v4.2.3和eZ Platform v2.5.31中得到解决。

Ibexa开发人员还建议重置所有用户密码，并且在应用更新后，用户重新生成GraphQL模式。虽然默认情况下启用GraphQL端点，但用户可以选择禁用此功能或强制执行登录和身份验证（如果他们愿意）。

Lye评论道：“当一个漏洞不能简单地通过应用更新来修复，而是需要像这样采取进一步行动时，这是非常不幸的，因为它会减慢我们用户的解决速度。

“在此之前的相当长一段时间里，我们建议用户不要在前端打开GraphQL，如果他们实际上没有在那里使用的话。并不是说我们怀疑其中有任何漏洞，而是因为在可以轻松做到的情况下减少攻击面通常是明智的。在这种情况下，这几乎是有先见之明的。”

Ibexa感谢Lexfo安全工程师Philippe Tranca报告了这个问题。

其他已解决的安全漏洞——角色分配策略中的子树限制失败、内容类型条目“名称”和“短名称”中的跨站点脚本(XSS)漏洞，以及HTML标签注入问题——需要具有高权限的后端访问Lye说。