Escanear gratis

Esta página aún no ha sido traducida a tu idioma. Mostrando contenido en inglés mientras trabajamos en ello.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-53621CVSS 6.9

CVE-2025-53621: XXE Injection in DSpace API

Plataforma

java

Componente

org.dspace:dspace-api

Corregido en

7.6.4

Ver en NVD
Guardar
Traduciendo a tu idioma…

CVE-2025-53621 describes two related XML External Entity (XXE) injection vulnerabilities discovered in the DSpace API. These vulnerabilities allow attackers to potentially read sensitive files or, in some scenarios, execute arbitrary code. The issue impacts DSpace versions prior to 7.6.4, 8.2, and 9.1, arising from improper handling of XML parsing during archive imports and external API responses. A fix is available in DSpace 7.6.4.

Java / Maven

Detecta esta CVE en tu proyecto

Sube tu archivo pom.xml y te decimos al instante si estás afectado.

Subir pom.xmlFormatos soportados: pom.xml · build.gradle

Impacto y Escenarios de Ataquetraduciendo…

Successful exploitation of CVE-2025-53621 could allow an attacker to read arbitrary files from the server's filesystem. This includes potentially accessing configuration files, database credentials, or other sensitive data. The first vulnerability arises during the import of archives using the Simple Archive Format, either through the command line (./dspace import) or the user interface. The second vulnerability stems from parsing XML responses from external sources. While direct remote code execution is not guaranteed, the ability to read local files significantly increases the attack surface and could be a stepping stone for further exploitation, such as privilege escalation or data exfiltration. The impact is amplified in environments where DSpace is used to manage sensitive research data or institutional repositories.

Contexto de Explotacióntraduciendo…

The vulnerability was published on 2025-07-15. Currently, there's no indication of this CVE being on KEV or having a high EPSS score. Public proof-of-concept (POC) code is not yet widely available, but the XXE nature of the vulnerability makes it likely that such exploits will emerge. Active campaigns targeting DSpace are not currently reported, but the ease of exploitation once a POC is available warrants vigilance.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.06% (18% percentil)

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:N/A:L6.9MEDIUMAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredHighNivel de autenticación requeridoUser InteractionRequiredSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityLowRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Alto — se requiere cuenta de administrador o privilegiada.
User Interaction
Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Ninguno — sin impacto en integridad.
Availability
Bajo — denegación de servicio parcial o intermitente.

Software Afectado

Componenteorg.dspace:dspace-api
Proveedorosv
Versión máxima7.6.3
Corregido en7.6.4

Clasificación de Debilidad (CWE)

CWE-611

Cronología

  1. Reservado
  2. Publicada
  3. EPSS actualizado

Mitigación y Workaroundstraduciendo…

The primary mitigation for CVE-2025-53621 is to upgrade to DSpace version 7.6.4 or later. If an immediate upgrade is not feasible, consider implementing temporary workarounds. Disable external entity resolution within the DSpace import process by configuring XML parsing libraries to explicitly disallow external entities. Restrict access to the dspace import command to trusted users only. Carefully review and validate all XML responses received from external sources before processing them within DSpace. After upgrading, confirm the fix by attempting an archive import and verifying that external entity resolution is disabled.

Cómo corregirlotraduciendo…

Actualice DSpace a la versión 7.6.4, 8.2 o 9.1. Si no puede actualizar inmediatamente, aplique el parche manualmente proporcionado por DSpace. Inspeccione cuidadosamente los archivos SAF antes de importarlos y deshabilite los servicios externos afectados para mitigar la vulnerabilidad.

Preguntas frecuentestraduciendo…

What is CVE-2025-53621 — XXE Injection in DSpace API?

CVE-2025-53621 is an XXE injection vulnerability affecting DSpace API versions up to 7.6.3, 8.1, and 9.0. It allows attackers to potentially read sensitive files from the server. The CVSS score is 6.9 (MEDIUM).

Am I affected by CVE-2025-53621 in DSpace API?

You are affected if you are running DSpace API versions prior to 7.6.4, 8.2, or 9.1. Check your version using ./dspace --version to determine your risk level.

How do I fix CVE-2025-53621 in DSpace API?

The recommended fix is to upgrade to DSpace version 7.6.4 or later. If an upgrade is not immediately possible, implement workarounds such as disabling external entity resolution in XML parsing.

Is CVE-2025-53621 being actively exploited?

Currently, there are no reports of active exploitation campaigns targeting CVE-2025-53621, but the vulnerability's nature suggests potential for future exploitation.

Where can I find the official DSpace advisory for CVE-2025-53621?

Refer to the official DSpace security advisory for detailed information and updates regarding CVE-2025-53621: [https://wiki.lyrasis.org/display/DSD/Security+Advisories](https://wiki.lyrasis.org/display/DSD/Security+Advisories)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
Java / Maven

Detecta esta CVE en tu proyecto

Sube tu archivo pom.xml y te decimos al instante si estás afectado.

Subir pom.xmlFormatos soportados: pom.xml · build.gradle
liveescaneo gratuito

Escanea tu proyecto Java / Maven ahora — sin cuenta

Sube tu pom.xml y recibís el reporte de vulnerabilidades al instante. Sin cuenta. Subir el archivo es solo el inicio: con una cuenta tenés monitoreo continuo, alertas en Slack/email, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...