MyCoRe allows redirect as parameter in GET requets

Description

Die Anwendung lässt zu, dass eine Nutzeranfrage an eine andere (externe) URL weitergeleitet werden kann.

<!-- Request
GET /mir/servlets/MCRBasketServlet?type=objects&action=add&id=DEMonografie_mods_00005001&uri=mcrobject%3aDEMonografie mods 00005001&redirect=http%3a%2f%2fbsi.bund.de%2f%3f HTTP/1.1
2 Host: 194.95.119.17
3 User−Agent: Mozilla/5.0 (X11; Linux x86 64; rv:60.0) Gecko/20100101 Firefox/60.0
4 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
5 Accept−Language: en−US,en;q=0.5
6 Accept−Encoding: gzip, deflate
7 Cookie: JSESSIONID=185CB810F5B0D88AA1B1A3F49922E40A
8 Connection: close
9 Upgrade−Insecure−Requests: 1
-->
HTTP/1.1 302 302
2 Date: Mon, 17 Feb 2020 10:47:54 GMT
3 Server: Apache
4Location: http://bsi.bund.de/?
5 Content−Length: 0
6 Cache−Control: max−age=0, no−cache
7 Connection: close
<!-- Response

-->

Environment

fettgedruckter Text

Activity

Show:
Thomas Scheffler
March 31, 2020, 5:51 AM

In wiefern ist das kritisch und als Fehler zu betrachten? Ob ich einen Link auf eine externe Seite direkt setze oder auf diese weiterleite, scheint für mich jetzt kein kritischer Fehler zu sein.

Assignee

Thomas Scheffler

Reporter

Michel Mbida

Labels

None

URL

None

External issue ID

None

Fix versions

Affects versions

Priority

Medium
Configure