Platform
java
Component
com.powsybl:powsybl-commons
Opgelost in
6.7.3
6.7.2
CVE-2025-47293 beschrijft een Server-Side Request Forgery (SSRF) en XML External Entity (XXE) kwetsbaarheid in de com.powsybl.commons.xml.XmlReader klasse van de com.powsybl:powsybl-commons bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om bestanden te lezen waarvoor ze normaal gesproken geen toegang zouden hebben, wat kan leiden tot privilege-escalatie. De kwetsbaarheid treft versies van com.powsybl:powsybl-commons tot en met 6.7.1. Een upgrade naar versie 6.7.2 is beschikbaar om dit probleem te verhelpen.
De com.powsybl.commons.xml.XmlReader klasse is kwetsbaar wanneer onbetrouwbare gebruikers XML-gegevens kunnen indienen. Een succesvolle exploitatie kan een aanvaller in staat stellen om gevoelige bestanden op het systeem te lezen, waaronder configuratiebestanden, sleutels of andere vertrouwelijke informatie. Dit kan leiden tot privilege-escalatie en verdere compromittering van het systeem. De XXE component van de kwetsbaarheid maakt het mogelijk om externe entiteiten te injecteren, wat kan leiden tot denial-of-service of zelfs de mogelijkheid om interne systemen te scannen. De SSRF component stelt een aanvaller in staat om verzoeken te sturen namens de server, mogelijk toegang te krijgen tot interne bronnen die anders niet toegankelijk zouden zijn.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes bekend op het moment van schrijven. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de CISA KEV catalogus zal deze waarschijnlijk volgen. Er zijn momenteel geen publiek beschikbare proof-of-concept exploits, maar de complexiteit van de kwetsbaarheid is relatief laag, wat de kans op toekomstige exploits vergroot.
Applications utilizing com.powsybl:powsybl-commons versions 6.7.1 or earlier are at risk. This includes Java-based applications, particularly those that process XML data from untrusted sources, such as multi-tenant applications or those integrating with external systems. Legacy systems that have not been regularly updated are also at increased risk.
• java / server:
find / -name "powsybl-commons-*.jar" -print0 | xargs -0 java -jar <jar_file> -Djava.security.xml.external.entities=null -Djava.security.xml.external.dtd=null• linux / server:
journalctl -u <application_name> | grep -i "xml parsing" • generic web:
curl -I <application_url>/xml-endpoint | grep -i "Server: Powsybl"disclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden naar versie 6.7.2 van com.powsybl:powsybl-commons. Indien een directe upgrade niet mogelijk is, overweeg dan om de XML-parsing te beperken tot vertrouwde bronnen en input. Implementeer inputvalidatie om te voorkomen dat onbetrouwbare XML-gegevens worden verwerkt. Een Web Application Firewall (WAF) kan worden geconfigureerd om SSRF-pogingen te detecteren en te blokkeren. Controleer de configuratie van de XmlReader klasse om te zorgen dat deze niet wordt gebruikt met onbetrouwbare input. Na de upgrade, verifieer de fix door te proberen een bestand te lezen waarvoor de gebruiker normaal gesproken geen rechten zou hebben.
Actualiseer de powsybl-commons bibliotheek naar versie 6.7.2 of hoger. Dit corrigeert de XXE en SSRF kwetsbaarheden in de XML reader. Zorg ervoor dat alle dependencies die powsybl-commons gebruiken ook worden geüpdatet om versieconflicten te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-47293 is a Server-Side Request Forgery (SSRF) vulnerability in the powsybl-commons library, allowing attackers to potentially read sensitive files on the server.
You are affected if your application uses powsybl-commons version 6.7.1 or earlier. Upgrade to 6.7.2 or later to mitigate the risk.
The recommended fix is to upgrade to powsybl-commons version 6.7.2 or later. Input validation and WAF rules can provide temporary mitigation.
As of now, there is no confirmed active exploitation of CVE-2025-47293, and no public PoCs are available.
Refer to the powsybl-commons project's official website or repository for the advisory and release notes related to CVE-2025-47293.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.