PT-2022-20597 · Dspace · Dspace
Ozkan Erdogan
·
Publicado
2022-08-01
·
Atualizado
2022-08-08
·
CVE-2022-31189
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do DSpace anteriores à 6.4
Descrição
Quando ocorre um “Erro interno do sistema” na JSPUI, toda a exceção, incluindo o rastreamento da pilha, fica disponível. As informações contidas nesse rastreamento podem ser úteis a um invasor para lançar um ataque mais sofisticado. Este problema afeta apenas a JSPUI.
Recomendações
Para o DSpace 6.x, atualize para a versão 6.4 ou aplique o arquivo de patch manualmente.
Para o DSpace 5.x, aplique o arquivo de patch 6.x ou desative a exibição de mensagens de erro no arquivo internal.jsp, definindo a exceção retornada como “null” em todos os momentos.
Como solução temporária, considere desativar a exibição de mensagens de erro no arquivo internal.jsp até que um patch esteja disponível.
Exploit
Correção
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dspace