CVE-2021-43781

**Nome do software vulnerável e versões afetadas:

Versões do Invenio-Drafts-Resources anteriores à 0.13.7 e à 0.14.6

Descrição:

O Invenio-Drafts-Resources é um módulo de envio/depósito para o Invenio, uma estrutura de software para gestão de dados de pesquisa. O problema decorre de verificações de permissão inadequadas quando um registro é publicado, tornando-o vulnerável em uma instalação padrão do InvenioRDM. Um usuário autenticado pode publicar rascunhos de registros de outros usuários por meio de chamadas de API REST, caso conheça o identificador do registro e o rascunho seja validado. No entanto, o invasor não pode modificar os dados no registro, como alterar um registro de restrito para público.

Recomendações:

Para versões do Invenio-Drafts-Resources anteriores à 0.13.7, atualize para a versão 0.13.7 ou posterior.

Para versões do Invenio-Drafts-Resources anteriores à 0.14.6, atualize para a versão 0.14.6 ou posterior.

Como solução temporária, considere restringir o acesso aos pontos de extremidade da API REST relacionados à publicação de registros preliminares até que um patch seja aplicado.