CVE-2026-45083
CriticalSummary
Goobi viewer to aplikacja webowa, która umożliwia wyświetlanie zdigitalizowanych materiałów w przeglądarce. W wersjach od 4.8.0 do przed 26.04.1, punkt końcowy REST POST /api/v1/index/stream akceptował dowolne wyrażenie strumieniowe Solr od nieautoryzowanych klientów sieciowych i przekazywał je do serwera Solr bez ograniczeń.
Risk Assessment
Atakujący mógłby odczytać cały indeks Solr, a w domyślnych wdrożeniach Solr również modyfikować lub usuwać zindeksowane rekordy, co stanowi poważne zagrożenie dla integralności danych.
Recommendation
Zaleca się aktualizację Goobi viewer do wersji 26.04.1 lub nowszej, aby usunąć tę podatność oraz ograniczyć dostęp do punktu końcowego REST tylko dla autoryzowanych użytkowników.
Original NVD description (English source)
The Goobi viewer is a web application that allows digitised material to be displayed in a web browser. From 4.8.0 to before 26.04.1, the Goobi viewer REST endpoint POST /api/v1/index/stream accepted an arbitrary Solr streaming expression from unauthenticated network clients and forwarded it to the backend Solr server without restriction. An attacker could read the complete Solr index and, in default Solr deployments, also modify or delete indexed records. This vulnerability is fixed in 26.04.1.

