A equipe de desenvolvimento do PKP está constantemente trabalhando para implementar melhorias e correções de segurança no OJS. Uma vulnerabilidade classificada como crítica no último dia 7 foi identificada há 20 dias e compromete os sistemas OJS, OMP e OPS da versão 3.x (até a 3.3.0-4).
A vulnerabilidade foi descoberta por Michael Mazzolini, da GoldNetwork (Suíça), em um plugin de terceiros integrado aos sistemas. Uma falha no desenvolvimento da ferramenta de upload do plugin Composer permite que uma página de exemplo seja acessada e que qualquer tipo de arquivo seja transferido para o servidor do site.
A falha permite que hackers possam transferir arquivos para captura de dados sensíveis de usuários, criação de páginas para phishing e armazenamento de scripts maliciosos que podem comprometer a confiança e a estabilidade do sistema. Para evitar que sua revista seja violada, apresentamos abaixo a solução para este problema.
Como resolver a vulnerabilidade
Há 2 opções para corrigir o problema:
- Atualizar o sistema para a versão 3.3.0-5
- Correção manual do problema
Corrigir o problema manualmente é rápido e fácil de fazer: simplesmente remova o arquivo diretorio_raiz_ojs/lib/pkp/lib/vendor/moxiecode/plupload/examples/upload.php da sua instalação.
É recomendado que a correção seja feita o mais rápido possível, antes que o conhecimento da vulnerabilidade torne-se amplo e transforme as revistas em alvo para hackers.
Informamos que todas as revistas hospedadas na GeniusDesign Nossa newsletter agora está no Substack e você pode se inscrever gratuitamente para recebê-la diretamente em seu email, ler no app e acessar todo o conteúdo do ecossistema Peletron!Assine nossa newsletter
