Plataforma
java
Componente
com.powsybl:powsybl-commons
Corrigido em
6.7.3
6.7.2
A vulnerabilidade CVE-2025-47293 é uma falha de SSRF (Server-Side Request Forgery) e XXE (XML External Entity) identificada na biblioteca com.powsybl:powsybl-commons versões até 6.7.1. Essa falha permite que um atacante eleve seus privilégios para ler arquivos sensíveis no sistema, explorando a forma como a biblioteca processa XML. A atualização para a versão 6.7.2 resolve essa vulnerabilidade.
Um atacante pode explorar essa vulnerabilidade enviando XML malicioso para a aplicação. A biblioteca com.powsybl:powsybl-commons ao processar esse XML, pode ser induzida a fazer requisições para recursos internos do servidor, revelando informações confidenciais ou até mesmo permitindo a leitura de arquivos que o atacante normalmente não teria acesso. Em um cenário de aplicação multi-tenant, um atacante poderia potencialmente comprometer outros usuários, acessando seus dados ou executando ações em seu nome. A vulnerabilidade XXE, combinada com a SSRF, amplia o potencial de ataque, permitindo a leitura de arquivos de configuração, chaves de API e outros dados sensíveis armazenados no sistema.
A vulnerabilidade CVE-2025-47293 foi divulgada em 19 de junho de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de uma vulnerabilidade SSRF e XXE em uma biblioteca amplamente utilizada aumenta o risco de exploração, especialmente em aplicações que processam XML de fontes não confiáveis. A ausência de um PoC público não significa que a vulnerabilidade não possa ser explorada.
Applications utilizing com.powsybl:powsybl-commons versions 6.7.1 or earlier are at risk. This includes Java-based applications, particularly those that process XML data from untrusted sources, such as multi-tenant applications or those integrating with external systems. Legacy systems that have not been regularly updated are also at increased risk.
• java / server:
find / -name "powsybl-commons-*.jar" -print0 | xargs -0 java -jar <jar_file> -Djava.security.xml.external.entities=null -Djava.security.xml.external.dtd=null• linux / server:
journalctl -u <application_name> | grep -i "xml parsing" • generic web:
curl -I <application_url>/xml-endpoint | grep -i "Server: Powsybl"disclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
A principal mitigação para CVE-2025-47293 é atualizar a biblioteca com.powsybl:powsybl-commons para a versão 6.7.2 ou superior. Se a atualização imediata não for possível, implemente validação rigorosa de entrada XML para prevenir a injeção de entidades externas. Utilize bibliotecas de parsing XML seguras que desabilitam a resolução de entidades externas por padrão. Considere a implementação de um Web Application Firewall (WAF) com regras para bloquear requisições suspeitas de SSRF. Monitore logs de acesso e erro em busca de padrões de requisições incomuns ou tentativas de acesso a arquivos sensíveis. Após a atualização, confirme a correção verificando se a biblioteca está na versão esperada e testando a aplicação com XML malicioso para garantir que a vulnerabilidade foi eliminada.
Atualize a biblioteca powsybl-commons para a versão 6.7.2 ou superior. Isso corrige as vulnerabilidades XXE e SSRF no leitor XML. Certifique-se de que todas as dependências que utilizam powsybl-commons também sejam atualizadas para evitar conflitos de versões.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-47293 is a Server-Side Request Forgery (SSRF) vulnerability in the powsybl-commons library, allowing attackers to potentially read sensitive files on the server.
You are affected if your application uses powsybl-commons version 6.7.1 or earlier. Upgrade to 6.7.2 or later to mitigate the risk.
The recommended fix is to upgrade to powsybl-commons version 6.7.2 or later. Input validation and WAF rules can provide temporary mitigation.
As of now, there is no confirmed active exploitation of CVE-2025-47293, and no public PoCs are available.
Refer to the powsybl-commons project's official website or repository for the advisory and release notes related to CVE-2025-47293.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.