CVE-2022-31195

Versões do DSpace anteriores à 5.11

Versões do DSpace anteriores à 6.4

O ItemImportServiceImpl no DSpace está sujeito a uma vulnerabilidade de traversal de caminho, permitindo que um pacote SAF malicioso crie arquivos ou diretórios em qualquer local no servidor onde o usuário do Tomcat/DSpace tenha permissão de gravação. Essa vulnerabilidade só pode ser explorada por usuários com privilégios especiais, como administradores ou aqueles com acesso à linha de comando do servidor. Ela afeta o XMLUI, o JSPUI e a linha de comando. Os usuários podem bloquear o acesso a caminhos de URL específicos como uma solução alternativa básica: /admin/batchimport para o XMLUI e /dspace-admin/batchimport para o JSPUI, considerando o uso de caminhos do site.

Atualize para a versão 5.11 ou posterior do DSpace para o DSpace 5.x

Atualize para a versão 6.4 ou posterior do DSpace para o DSpace 6.x

Como solução temporária, bloqueie todo o acesso aos seguintes caminhos de URL:

Se estiver usando XMLUI, bloqueie o acesso ao caminho /admin/batchimport

Se estiver usando JSPUI, bloqueie o acesso ao caminho /dspace-admin/batchimport

Aplique manualmente os arquivos de patch fornecidos para o DSpace 5.x e 6.x se uma atualização imediata não for possível.