Mgeerdsen

**Nome do Software Vulnerável e Versões Afetadas** Goobi viewer versões 4.8.0 até 26.04.0 **Descrição** O endpoint REST "POST /api/v1/index/stream" aceita expressões de streaming do Solr arbitrárias de clientes de rede não autenticados e as encaminha para o servidor Solr de backend sem restrições. Isso permite que um invasor leia o índice Solr completo, incluindo documentos protegidos por condições de acesso, requisitos de licença ou restrições de IP. Além disso, em implantações padrão do Solr, invasores podem usar expressões de streaming `update()` para sobrescrever valores de campos indexados, alterar metadados ou corromper estruturas de documentos, e usar expressões de streaming `delete()` para remover permanentemente documentos ou a coleção inteira. **Recomendações** Atualize para a versão 26.04.1. Como medida paliativa temporária, bloqueie o endpoint "/api/v1/index/stream" usando um proxy reverso ou na configuração do Tomcat.

**Name of the Vulnerable Software and Affected Versions** Goobi viewer core versions prior to 23.03 **Description** A cross-site scripting issue has been identified in the user comment feature of the Goobi viewer core. This allows an attacker to create a specially crafted comment that results in the execution of malicious script code in the user's browser when the comment is displayed. **Recommendations** For versions prior to 23.03, update to version 23.03 to resolve the issue. As a temporary workaround, consider disabling the user comment feature until the update is applied.

**Name of the Vulnerable Software and Affected Versions** Goobi viewer versions prior to 23.03 **Description** The Goobi viewer is a web application that allows digitised material to be displayed in a web browser. A cross-site scripting vulnerability has been identified in Goobi viewer core when using nicknames. An attacker could create a user account and enter malicious scripts into their profile's nickname, resulting in the execution in the user's browser when displaying the nickname on certain pages. **Recommendations** For versions prior to 23.03, update to version 23.03 to resolve the issue. As a temporary workaround, consider restricting the use of nicknames in user profiles until the update is applied. Avoid displaying user nicknames on certain pages until the issue is resolved.