If data is registered after specifying only "." or ".." in the code or ID of a user code, etc., access to some screens may not be possible due to a 404 error. Similarly, if values that contain "/" are specified, access to some screens may not be possible

If data is registered after specifying only "." or ".." in the code or ID of a user code, etc., access to some screens may not be possible due to a 404 error. Similarly, if values that contain "/" are specified, access to some screens may not be possible due to a 404 error.

If data is registered after specifying only "." or ".." in the code or ID of a user code, etc., access to some screens may not be possible due to a 404 error.
Similarly, if values that contain "/" are specified, access to some screens may not be possible due to a 404 error.

"Code" and "ID" are used in the example above, but what this specifically means is that when the following URL-encoded values are contained in the URL path as PathVariables, access is not possible due to a 404 error.

・ "." only
・ ".." only
・ Value that contains "/"

Rejected due to security reasons.


One of the following measures must be taken.
General users, tenant administrators, and system administrators should refer to "For users or administrators," and developers should refer to "For developers."

    For users or administrators

        ・ If you registered data after specifying a value that contains "/", "." only, or ".." only, please change the data.
              For example, if you registered data after specifying "." only or ".." only as a user code, you can work around the issue by recreating the user with a different value specified as the user code.

    For developers

        Please take one of the following measures.

        ・ Please edit the code or ID that is passed in PathVariables so that it is validated with "id2."

        ・ Please edit so that the data is passed in query parameters or the body instead of PathVariables.

        ・ Please define the paths for which no checks will be performed in WEB-INF/classes/META-INF/router/path_validator/ignore_list.
             When a URL is accessed whose prefix matches a path defined in ignore_list, no check is performed for URL-encoded slashes or dots.
             For example, when the following is defined in ignore_list, no check is performed when accessing with a URL such as " https://example.com/contextpath/something/process/AeCs%2Ffe" or " https://example.com/contextpath/something/entries/%2E/attr."

 --Target ----------------------------------------------- --------------------------
 iAP / Accel Platform / All Updates

Was this article helpful?
0 out of 0 found this helpful
Powered by Zendesk