Katalog CVE

CVE-2026-45083

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Goobi viewer to aplikacja webowa, która umożliwia wyświetlanie zdigitalizowanych materiałów w przeglądarce. W wersjach od 4.8.0 do przed 26.04.1, punkt końcowy REST POST /api/v1/index/stream akceptował dowolne wyrażenie strumieniowe Solr od nieautoryzowanych klientów sieciowych i przekazywał je do serwera Solr bez ograniczeń.

Ocena ryzyka

Atakujący mógłby odczytać cały indeks Solr, a w domyślnych wdrożeniach Solr również modyfikować lub usuwać zindeksowane rekordy, co stanowi poważne zagrożenie dla integralności danych.

Rekomendacja

Zaleca się aktualizację Goobi viewer do wersji 26.04.1 lub nowszej, aby usunąć tę podatność oraz ograniczyć dostęp do punktu końcowego REST tylko dla autoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Goobi viewer is a web application that allows digitised material to be displayed in a web browser. From 4.8.0 to before 26.04.1, the Goobi viewer REST endpoint POST /api/v1/index/stream accepted an arbitrary Solr streaming expression from unauthenticated network clients and forwarded it to the backend Solr server without restriction. An attacker could read the complete Solr index and, in default Solr deployments, also modify or delete indexed records. This vulnerability is fixed in 26.04.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS