CVE-2024-38364

Versões 7.0 a 7.6.1 do DSpace

O DSpace é um software de código aberto utilizado por mais de 2.000 organizações e instituições em todo o mundo para fornecer acesso duradouro a recursos digitais. Nas versões afetadas, quando um fluxo de bits HTML, XML ou JavaScript é baixado, o navegador do usuário pode executar qualquer JavaScript incorporado, o que pode levar a um ataque XSS. Essa vulnerabilidade pode ser explorada por um usuário com privilégios de Submitter que envie um arquivo HTML/XML/JavaScript malicioso. O ataque ocorre quando um visitante ou usuário conectado baixa o arquivo ou clica em um link de download compartilhado pelo invasor. Se o repositório estiver configurado para baixar apenas fluxos de dados HTML/XML/JavaScript usando o cabeçalho Content-Disposition: attachment, o ataque não será mais possível.

Para as versões 7.6 ou 7.6.1 do DSpace, adicione as seguintes configurações webui.content disposition format ao arquivo de configuração dspace.cfg para forçar que todos os arquivos HTML, XML, RDF e JavaScript sejam sempre baixados para a máquina do usuário:

webui.content disposition format = text/html

webui.content disposition format = text/javascript

webui.content disposition format = text/xml

webui.content disposition format = rdf

Para as versões 7.0 a 7.5 do DSpace, atualize para a versão 7.6.2 ou 8.0, ou atualize para a versão 7.6 ou 7.6.1 e aplique a alteração de configuração mencionada acima. Como alternativa, adicione manualmente a configuração webui.content disposition format e