Invenio-Drafts-Resources 安全漏洞

CNNVD-ID编号	CNNVD-202112-386	CVE编号	CVE-2021-43781
发布时间	2021-12-06	更新时间	2021-12-07
漏洞类型	其他	漏洞来源	N/A
危险等级	中危	威胁类型	远程
厂商	N/A

漏洞介绍

Invenio-Drafts-Resources是一个 Invenio 的提交/存入模块。用于研究数据管理。 Invenio-Drafts-Resources 0.13.7 和 0.14.6 之前的版本存在安全漏洞，该漏洞源于受影响产品无法正确检查权限。该漏洞可在 InvenioRDM 的默认安装中利用。如果其他用户知道记录标识符并且草稿经过验证（例如，所有需要填写的字段），则经过身份验证的用户能够通过 REST API 调用发布其他用户的草稿记录。

漏洞补丁

目前厂商已发布升级了Invenio-Drafts-Resources 安全漏洞的补丁，Invenio-Drafts-Resources 安全漏洞的补丁获取链接： https://github.com/inveniosoftware/invenio-drafts-resources/security/advisories/GHSA-xr38-w74q-r8jv