PT-2021-23162 · Dspace · Dspace
Publicado
2021-10-29
·
Atualizado
2021-11-03
·
CVE-2021-41189
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
DSpace versão 7.0
Descrição
O DSpace é um aplicativo de repositório de código aberto pronto para uso. Na versão 7.0, qualquer administrador de comunidade ou coleção pode elevar sua permissão até se tornar administrador do sistema. Este problema foi corrigido na versão 7.1. Como solução alternativa, os usuários da versão 7.0 podem desativar temporariamente a capacidade dos administradores de comunidade ou coleção de gerenciar permissões ou configurações de fluxos de trabalho.
Recomendações
Para o DSpace versão 7.0, desative temporariamente a capacidade dos administradores de comunidade ou coleção de gerenciar permissões ou configurações de fluxos de trabalho definindo as seguintes propriedades no seu arquivo local.cfg / dspace.cfg:
core.authorization.collection-admin.policies = falsecore.authorization.community-admin.policies = falsecore.authorization.community-admin.collection.workflows = falseApós a atualização para a versão 7.1, essas configurações podem ser revertidas com segurança para os valores padrão
true.Atualize para a versão 7.1 do DSpace assim que possível.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dspace