Plateforme
java
Composant
com.powsybl:powsybl-commons
Corrigé dans
6.7.3
6.7.2
La vulnérabilité CVE-2025-47293 est une faille SSRF (Server-Side Request Forgery) et XXE (XML External Entity) découverte dans la bibliothèque com.powsybl:powsybl-commons. Cette faille permet à un attaquant de lire des fichiers auxquels il n'aurait normalement pas accès, compromettant potentiellement la confidentialité des données sensibles. Elle affecte les versions de la bibliothèque inférieures ou égales à 6.7.1 et a été corrigée dans la version 6.7.2.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et de lire des fichiers arbitraires sur le système. Cela inclut potentiellement des fichiers de configuration, des clés API, des informations d'identification de base de données et d'autres données sensibles. Dans un contexte d'application multi-locataire, un attaquant pourrait exploiter cette faille pour accéder aux données d'autres utilisateurs. La vulnérabilité se situe dans la classe com.powsybl.commons.xml.XmlReader et est activée lorsque des utilisateurs non fiables soumettent des fichiers XML à des méthodes vulnérables. Une attaque XXE permet l'inclusion de données externes dans le document XML, tandis que l'attaque SSRF permet d'effectuer des requêtes HTTP vers des ressources internes ou externes.
Cette vulnérabilité a été publiée le 19 juin 2025. Aucune preuve d'exploitation active n'est actuellement disponible, mais la combinaison d'une SSRF et d'une attaque XXE peut être particulièrement dangereuse. La probabilité d'exploitation est considérée comme moyenne en raison de la complexité potentielle de l'exploitation et de l'absence de PoC publics. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour.
Applications utilizing com.powsybl:powsybl-commons versions 6.7.1 or earlier are at risk. This includes Java-based applications, particularly those that process XML data from untrusted sources, such as multi-tenant applications or those integrating with external systems. Legacy systems that have not been regularly updated are also at increased risk.
• java / server:
find / -name "powsybl-commons-*.jar" -print0 | xargs -0 java -jar <jar_file> -Djava.security.xml.external.entities=null -Djava.security.xml.external.dtd=null• linux / server:
journalctl -u <application_name> | grep -i "xml parsing" • generic web:
curl -I <application_url>/xml-endpoint | grep -i "Server: Powsybl"disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
La mitigation principale consiste à mettre à jour la bibliothèque com.powsybl:powsybl-commons vers la version 6.7.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le parsing XML non fiable ou de mettre en œuvre une validation stricte des fichiers XML entrants pour empêcher l'injection de données malveillantes. Des règles WAF (Web Application Firewall) peuvent être configurées pour bloquer les requêtes contenant des entités externes malformées. Vérifiez après la mise à jour que le parsing XML est correctement configuré et que les entrées utilisateur sont validées.
Mettez à jour la bibliothèque powsybl-commons à la version 6.7.2 ou supérieure. Cela corrige les vulnérabilités XXE et SSRF dans le lecteur XML. Assurez-vous que toutes les dépendances qui utilisent powsybl-commons sont également mises à jour pour éviter les conflits de versions.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-47293 is a Server-Side Request Forgery (SSRF) vulnerability in the powsybl-commons library, allowing attackers to potentially read sensitive files on the server.
You are affected if your application uses powsybl-commons version 6.7.1 or earlier. Upgrade to 6.7.2 or later to mitigate the risk.
The recommended fix is to upgrade to powsybl-commons version 6.7.2 or later. Input validation and WAF rules can provide temporary mitigation.
As of now, there is no confirmed active exploitation of CVE-2025-47293, and no public PoCs are available.
Refer to the powsybl-commons project's official website or repository for the advisory and release notes related to CVE-2025-47293.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.