CVE-2020-26282

Versões do BrowserUp Proxy anteriores à 2.1.2

Foi identificada uma injeção de modelo no lado do servidor (Server-Side Template Injection) no BrowserUp Proxy, permitindo que invasores injetem expressões Java EL arbitrárias, levando à execução remota de código (RCE) sem autenticação. Essa vulnerabilidade permite que invasores manipulem solicitações e respostas HTTP, capturem conteúdo HTTP e exportem dados de desempenho como um arquivo HAR. A vulnerabilidade é especialmente preocupante quando o BrowserUp Proxy está incorporado em testes do Selenium.

Para versões anteriores à 2.1.2, atualize para a versão 2.1.2 ou superior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao servidor proxy para minimizar o risco de exploração. Evite usar as expressões Java EL vulneráveis no servidor proxy afetado até que o problema seja resolvido.