Scanner gratuitement

Cette page n'a pas encore été traduite dans votre langue. Affichage du contenu en anglais pendant que nous y travaillons.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-53621CVSS 6.9

CVE-2025-53621: XXE Injection in DSpace API

traduction en cours…

Plateforme

java

Composant

org.dspace:dspace-api

Corrigé dans

7.6.4

Voir sur NVD
Sauvegarder
Traduction vers votre langue…

CVE-2025-53621 describes two related XML External Entity (XXE) injection vulnerabilities discovered in the DSpace API. These vulnerabilities allow attackers to potentially read sensitive files or, in some scenarios, execute arbitrary code. The issue impacts DSpace versions prior to 7.6.4, 8.2, and 9.1, arising from improper handling of XML parsing during archive imports and external API responses. A fix is available in DSpace 7.6.4.

Java / Maven

Détecte cette CVE dans ton projet

Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.

Téléverser pom.xmlFormats supportés: pom.xml · build.gradle

Impact et Scénarios d'Attaquetraduction en cours…

Successful exploitation of CVE-2025-53621 could allow an attacker to read arbitrary files from the server's filesystem. This includes potentially accessing configuration files, database credentials, or other sensitive data. The first vulnerability arises during the import of archives using the Simple Archive Format, either through the command line (./dspace import) or the user interface. The second vulnerability stems from parsing XML responses from external sources. While direct remote code execution is not guaranteed, the ability to read local files significantly increases the attack surface and could be a stepping stone for further exploitation, such as privilege escalation or data exfiltration. The impact is amplified in environments where DSpace is used to manage sensitive research data or institutional repositories.

Contexte d'Exploitationtraduction en cours…

The vulnerability was published on 2025-07-15. Currently, there's no indication of this CVE being on KEV or having a high EPSS score. Public proof-of-concept (POC) code is not yet widely available, but the XXE nature of the vulnerability makes it likely that such exploits will emerge. Active campaigns targeting DSpace are not currently reported, but the ease of exploitation once a POC is available warrants vigilance.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

EPSS

0.06% (percentile 18%)

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:N/A:L6.9MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredHighNiveau d'authentification requisUser InteractionRequiredSi une action de la victime est requiseScopeChangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityLowRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Élevé — un compte administrateur ou privilégié est requis.
User Interaction
Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope
Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantorg.dspace:dspace-api
Fournisseurosv
Version maximale7.6.3
Corrigé dans7.6.4

Classification de Faiblesse (CWE)

CWE-611

Chronologie

  1. Réservé
  2. Publiée
  3. EPSS mis à jour

Mitigation et Contournementstraduction en cours…

The primary mitigation for CVE-2025-53621 is to upgrade to DSpace version 7.6.4 or later. If an immediate upgrade is not feasible, consider implementing temporary workarounds. Disable external entity resolution within the DSpace import process by configuring XML parsing libraries to explicitly disallow external entities. Restrict access to the dspace import command to trusted users only. Carefully review and validate all XML responses received from external sources before processing them within DSpace. After upgrading, confirm the fix by attempting an archive import and verifying that external entity resolution is disabled.

Comment corrigertraduction en cours…

Actualice DSpace a la versión 7.6.4, 8.2 o 9.1. Si no puede actualizar inmediatamente, aplique el parche manualmente proporcionado por DSpace. Inspeccione cuidadosamente los archivos SAF antes de importarlos y deshabilite los servicios externos afectados para mitigar la vulnerabilidad.

Questions fréquentestraduction en cours…

What is CVE-2025-53621 — XXE Injection in DSpace API?

CVE-2025-53621 is an XXE injection vulnerability affecting DSpace API versions up to 7.6.3, 8.1, and 9.0. It allows attackers to potentially read sensitive files from the server. The CVSS score is 6.9 (MEDIUM).

Am I affected by CVE-2025-53621 in DSpace API?

You are affected if you are running DSpace API versions prior to 7.6.4, 8.2, or 9.1. Check your version using ./dspace --version to determine your risk level.

How do I fix CVE-2025-53621 in DSpace API?

The recommended fix is to upgrade to DSpace version 7.6.4 or later. If an upgrade is not immediately possible, implement workarounds such as disabling external entity resolution in XML parsing.

Is CVE-2025-53621 being actively exploited?

Currently, there are no reports of active exploitation campaigns targeting CVE-2025-53621, but the vulnerability's nature suggests potential for future exploitation.

Where can I find the official DSpace advisory for CVE-2025-53621?

Refer to the official DSpace security advisory for detailed information and updates regarding CVE-2025-53621: [https://wiki.lyrasis.org/display/DSD/Security+Advisories](https://wiki.lyrasis.org/display/DSD/Security+Advisories)

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
Java / Maven

Détecte cette CVE dans ton projet

Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.

Téléverser pom.xmlFormats supportés: pom.xml · build.gradle
en directfree scan

Scannez votre projet Java / Maven maintenant — sans compte

Téléchargez votre pom.xml et obtenez le rapport de vulnérabilité instantanément. Pas de compte. Le téléchargement du fichier n'est qu'un début : avec un compte, vous bénéficiez d'une surveillance continue, d'alertes Slack/e-mail, de rapports multi-projets et en marque blanche.

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

CVE-2025-53621 — Vulnerability Details | NextGuard