MyCoRe allows redirect as parameter in GET requets

Description

Die Anwendung lässt zu, dass eine Nutzeranfrage an eine andere (externe) URL weitergeleitet werden kann.

<!-- Request
GET /mir/servlets/MCRBasketServlet?type=objects&action=add&id=DEMonografie_mods_00005001&uri=mcrobject%3aDEMonografie mods 00005001&redirect=http%3a%2f%2fbsi.bund.de%2f%3f HTTP/1.1
2 Host: 194.95.119.17
3 User−Agent: Mozilla/5.0 (X11; Linux x86 64; rv:60.0) Gecko/20100101 Firefox/60.0
4 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
5 Accept−Language: en−US,en;q=0.5
6 Accept−Encoding: gzip, deflate
7 Cookie: JSESSIONID=185CB810F5B0D88AA1B1A3F49922E40A
8 Connection: close
9 Upgrade−Insecure−Requests: 1
-->
HTTP/1.1 302 302
2 Date: Mon, 17 Feb 2020 10:47:54 GMT
3 Server: Apache
4Location: http://bsi.bund.de/?
5 Content−Length: 0
6 Cache−Control: max−age=0, no−cache
7 Connection: close
<!-- Response

-->

Environment

fettgedruckter Text

Assignee

Kathleen Neumann

Reporter

Michel Mbida

Labels

None

URL

None

External issue ID

None

Affects versions

Priority

Medium
Configure