Andrea Bollini

**Nome do software vulnerável e versões afetadas** Versões do DSpace anteriores à 5.11 Versões do DSpace anteriores à 6.4 **Descrição** O recurso “Solicitar uma cópia” do JSPUI não escapa adequadamente os valores enviados e armazenados pelo formulário “Solicitar uma cópia”, tornando as solicitações de itens vulneráveis a ataques XSS. Este problema afeta apenas o JSPUI, e recomenda-se que os usuários atualizem o sistema. Não há soluções alternativas conhecidas para esta vulnerabilidade. **Recomendações** Para o DSpace 5.x, atualize para a versão 5.11 ou aplique o arquivo de patch disponível em https://github.com/DSpace/DSpace/commit/28eb8158210d41168a62ed5f9e044f754513bc37.patch. Para o DSpace 6.x, atualize para a versão 6.4 ou aplique o arquivo de patch disponível em https://github.com/DSpace/DSpace/commit/503a6af57fd720c37b0d86c34de63baa5dd85819.patch. Como solução temporária, considere desativar o recurso “Solicitar uma cópia” comentando a configuração `request.item.type = all` ou definindo seu valor como vazio.