Vulnerabilidad en ItemImportServiceImpl en el software de código abierto Dspace (CVE-2022-31195)

El software de código abierto DSpace es una aplicación de repositorio que proporciona acceso duradero a los recursos digitales. En las versiones afectadas el ItemImportServiceImpl es vulnerable a una vulnerabilidad de salto de ruta. Esto significa que un paquete SAF (formato de archivo simple) malicioso podría causar la creación de un archivo/directorio en cualquier lugar donde el usuario de Tomcat/DSpace pueda escribir en el servidor. Sin embargo, esta vulnerabilidad de salto de ruta sólo es posible por un usuario con privilegios especiales (ya sea administradores o alguien con acceso a la línea de comandos del servidor). Esta vulnerabilidad afecta a XMLUI, JSPUI y a la línea de comandos. Es recomendado a usuarios actualizar. Como mitigación básica, los usuarios pueden bloquear todo el acceso a las siguientes rutas URL: Si usa la XMLUI, bloquee todos los accesos a la ruta /admin/batchimport (esta es la URL de la herramienta Admin Batch Import). Ten en cuenta que si tu sitio usa la ruta "/xmlui", tendrás que bloquear el acceso a /xmlui/admin/batchimport. Si usas la JSPUI, bloquea todo el acceso a la ruta /dspace-admin/batchimport (esta es la URL de la herramienta Admin Batch Import). Ten en cuenta que si tu sitio usa la ruta "/jspui", entonces tendrás que bloquear el acceso a /jspui/dspace-admin/batchimport. Tenga en cuenta que sólo un usuario administrativo o un usuario con acceso a la línea de comandos del servidor puede importar/cargar paquetes SAF. Por lo tanto, asumiendo que esos usuarios no suben ciegamente paquetes SAF no confiables, entonces es poco probable que su sitio pueda ser impactado por esta vulnerabilidad