無料スキャン

このページはまだあなたの言語に翻訳されていません。翻訳作業中のため、英語でコンテンツを表示しています。

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-53621CVSS 6.9

CVE-2025-53621: XXE Injection in DSpace API

プラットフォーム

java

コンポーネント

org.dspace:dspace-api

修正版

7.6.4

NVDで見る
保存
あなたの言語に翻訳中…

CVE-2025-53621 describes two related XML External Entity (XXE) injection vulnerabilities discovered in the DSpace API. These vulnerabilities allow attackers to potentially read sensitive files or, in some scenarios, execute arbitrary code. The issue impacts DSpace versions prior to 7.6.4, 8.2, and 9.1, arising from improper handling of XML parsing during archive imports and external API responses. A fix is available in DSpace 7.6.4.

Java / Maven

このCVEがあなたのプロジェクトに影響するか確認

pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。

pom.xml をアップロード対応フォーマット: pom.xml · build.gradle

影響と攻撃シナリオ翻訳中…

Successful exploitation of CVE-2025-53621 could allow an attacker to read arbitrary files from the server's filesystem. This includes potentially accessing configuration files, database credentials, or other sensitive data. The first vulnerability arises during the import of archives using the Simple Archive Format, either through the command line (./dspace import) or the user interface. The second vulnerability stems from parsing XML responses from external sources. While direct remote code execution is not guaranteed, the ability to read local files significantly increases the attack surface and could be a stepping stone for further exploitation, such as privilege escalation or data exfiltration. The impact is amplified in environments where DSpace is used to manage sensitive research data or institutional repositories.

悪用の状況翻訳中…

The vulnerability was published on 2025-07-15. Currently, there's no indication of this CVE being on KEV or having a high EPSS score. Public proof-of-concept (POC) code is not yet widely available, but the XXE nature of the vulnerability makes it likely that such exploits will emerge. Active campaigns targeting DSpace are not currently reported, but the ease of exploitation once a POC is available warrants vigilance.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:N/A:L6.9MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredHigh攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityLowサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
高 — 管理者または特権アカウントが必要。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
なし — 完全性への影響なし。
Availability
低 — 部分的または断続的なサービス拒否。

影響を受けるソフトウェア

コンポーネントorg.dspace:dspace-api
ベンダーosv
最大バージョン7.6.3
修正版7.6.4

弱点分類 (CWE)

CWE-611

タイムライン

  1. 予約済み
  2. 公開日
  3. EPSS 更新日

緩和策と回避策翻訳中…

The primary mitigation for CVE-2025-53621 is to upgrade to DSpace version 7.6.4 or later. If an immediate upgrade is not feasible, consider implementing temporary workarounds. Disable external entity resolution within the DSpace import process by configuring XML parsing libraries to explicitly disallow external entities. Restrict access to the dspace import command to trusted users only. Carefully review and validate all XML responses received from external sources before processing them within DSpace. After upgrading, confirm the fix by attempting an archive import and verifying that external entity resolution is disabled.

修正方法翻訳中…

Actualice DSpace a la versión 7.6.4, 8.2 o 9.1. Si no puede actualizar inmediatamente, aplique el parche manualmente proporcionado por DSpace. Inspeccione cuidadosamente los archivos SAF antes de importarlos y deshabilite los servicios externos afectados para mitigar la vulnerabilidad.

よくある質問翻訳中…

What is CVE-2025-53621 — XXE Injection in DSpace API?

CVE-2025-53621 is an XXE injection vulnerability affecting DSpace API versions up to 7.6.3, 8.1, and 9.0. It allows attackers to potentially read sensitive files from the server. The CVSS score is 6.9 (MEDIUM).

Am I affected by CVE-2025-53621 in DSpace API?

You are affected if you are running DSpace API versions prior to 7.6.4, 8.2, or 9.1. Check your version using ./dspace --version to determine your risk level.

How do I fix CVE-2025-53621 in DSpace API?

The recommended fix is to upgrade to DSpace version 7.6.4 or later. If an upgrade is not immediately possible, implement workarounds such as disabling external entity resolution in XML parsing.

Is CVE-2025-53621 being actively exploited?

Currently, there are no reports of active exploitation campaigns targeting CVE-2025-53621, but the vulnerability's nature suggests potential for future exploitation.

Where can I find the official DSpace advisory for CVE-2025-53621?

Refer to the official DSpace security advisory for detailed information and updates regarding CVE-2025-53621: [https://wiki.lyrasis.org/display/DSD/Security+Advisories](https://wiki.lyrasis.org/display/DSD/Security+Advisories)

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
Java / Maven

このCVEがあなたのプロジェクトに影響するか確認

pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。

pom.xml をアップロード対応フォーマット: pom.xml · build.gradle
scanZone.liveBadgescanZone.eyebrow

Java / Mavenプロジェクトを今すぐスキャン — アカウント不要

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...