Hassan Bhuiyan

**Nome do software vulnerável e versões afetadas** Versões do DSpace anteriores à 5.11 Versões do DSpace anteriores à 6.4 **Descrição** O verificador ortográfico “Did you mean” do JSPUI escapa o atributo `data-spell` no link, mas não o texto efetivamente exibido. Da mesma forma, o HTML do autocompletar do JSPUI não escapa corretamente o texto que lhe é passado. Ambos são vulneráveis a XSS. Esta vulnerabilidade afeta apenas o JSPUI. **Recomendações** Para o DSpace 5.x, atualize para a versão 5.11 ou aplique manualmente os arquivos de patch para o corretor ortográfico e o autocompletar. Para o DSpace 6.x, atualize para a versão 6.4 ou aplique manualmente os arquivos de patch para o corretor ortográfico e o autocompletar. Para aplicar o patch, baixe o arquivo de patch apropriado, aplique-o usando `git apply [nome-do-arquivo].patch`, recompile o DSpace com `mvn -U clean package`, reimplemente o DSpace com `ant update` e reinicie o Tomcat.