CVE-2026-45083

Nome do Software Vulnerável e Versões Afetadas Goobi viewer versões 4.8.0 até 26.04.0

Descrição O endpoint REST "POST /api/v1/index/stream" aceita expressões de streaming do Solr arbitrárias de clientes de rede não autenticados e as encaminha para o servidor Solr de backend sem restrições. Isso permite que um invasor leia o índice Solr completo, incluindo documentos protegidos por condições de acesso, requisitos de licença ou restrições de IP. Além disso, em implantações padrão do Solr, invasores podem usar expressões de streaming update() para sobrescrever valores de campos indexados, alterar metadados ou corromper estruturas de documentos, e usar expressões de streaming delete() para remover permanentemente documentos ou a coleção inteira.

Recomendações Atualize para a versão 26.04.1. Como medida paliativa temporária, bloqueie o endpoint "/api/v1/index/stream" usando um proxy reverso ou na configuração do Tomcat.