Escanear grátis

Esta página ainda não foi traduzida para o seu idioma. Exibindo conteúdo em inglês enquanto trabalhamos nisso.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-53621CVSS 6.9

CVE-2025-53621: XXE Injection in DSpace API

Plataforma

java

Componente

org.dspace:dspace-api

Corrigido em

7.6.4

Ver no NVD
Salvar
Traduzindo para o seu idioma…

CVE-2025-53621 describes two related XML External Entity (XXE) injection vulnerabilities discovered in the DSpace API. These vulnerabilities allow attackers to potentially read sensitive files or, in some scenarios, execute arbitrary code. The issue impacts DSpace versions prior to 7.6.4, 8.2, and 9.1, arising from improper handling of XML parsing during archive imports and external API responses. A fix is available in DSpace 7.6.4.

Java / Maven

Detecte esta CVE no seu projeto

Envie seu arquivo pom.xml e descubra na hora se você está afetado.

Enviar pom.xmlFormatos suportados: pom.xml · build.gradle

Impacto e Cenários de Ataquetraduzindo…

Successful exploitation of CVE-2025-53621 could allow an attacker to read arbitrary files from the server's filesystem. This includes potentially accessing configuration files, database credentials, or other sensitive data. The first vulnerability arises during the import of archives using the Simple Archive Format, either through the command line (./dspace import) or the user interface. The second vulnerability stems from parsing XML responses from external sources. While direct remote code execution is not guaranteed, the ability to read local files significantly increases the attack surface and could be a stepping stone for further exploitation, such as privilege escalation or data exfiltration. The impact is amplified in environments where DSpace is used to manage sensitive research data or institutional repositories.

Contexto de Exploraçãotraduzindo…

The vulnerability was published on 2025-07-15. Currently, there's no indication of this CVE being on KEV or having a high EPSS score. Public proof-of-concept (POC) code is not yet widely available, but the XXE nature of the vulnerability makes it likely that such exploits will emerge. Active campaigns targeting DSpace are not currently reported, but the ease of exploitation once a POC is available warrants vigilance.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

EPSS

0.06% (percentil 18%)

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:N/A:L6.9MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredHighNível de autenticação necessárioUser InteractionRequiredSe a vítima precisa tomar uma açãoScopeChangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityLowRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Alto — conta de administrador ou privilegiada necessária.
User Interaction
Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
Scope
Alterado — o ataque pode pivotar para além do componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Nenhum — sem impacto na integridade.
Availability
Baixo — negação de serviço parcial ou intermitente.

Software Afetado

Componenteorg.dspace:dspace-api
Fornecedorosv
Versão máxima7.6.3
Corrigido em7.6.4

Classificação de Fraqueza (CWE)

CWE-611

Linha do tempo

  1. Reservado
  2. Publicada
  3. EPSS atualizado

Mitigação e Soluções Alternativastraduzindo…

The primary mitigation for CVE-2025-53621 is to upgrade to DSpace version 7.6.4 or later. If an immediate upgrade is not feasible, consider implementing temporary workarounds. Disable external entity resolution within the DSpace import process by configuring XML parsing libraries to explicitly disallow external entities. Restrict access to the dspace import command to trusted users only. Carefully review and validate all XML responses received from external sources before processing them within DSpace. After upgrading, confirm the fix by attempting an archive import and verifying that external entity resolution is disabled.

Como corrigirtraduzindo…

Actualice DSpace a la versión 7.6.4, 8.2 o 9.1. Si no puede actualizar inmediatamente, aplique el parche manualmente proporcionado por DSpace. Inspeccione cuidadosamente los archivos SAF antes de importarlos y deshabilite los servicios externos afectados para mitigar la vulnerabilidad.

Perguntas frequentestraduzindo…

What is CVE-2025-53621 — XXE Injection in DSpace API?

CVE-2025-53621 is an XXE injection vulnerability affecting DSpace API versions up to 7.6.3, 8.1, and 9.0. It allows attackers to potentially read sensitive files from the server. The CVSS score is 6.9 (MEDIUM).

Am I affected by CVE-2025-53621 in DSpace API?

You are affected if you are running DSpace API versions prior to 7.6.4, 8.2, or 9.1. Check your version using ./dspace --version to determine your risk level.

How do I fix CVE-2025-53621 in DSpace API?

The recommended fix is to upgrade to DSpace version 7.6.4 or later. If an upgrade is not immediately possible, implement workarounds such as disabling external entity resolution in XML parsing.

Is CVE-2025-53621 being actively exploited?

Currently, there are no reports of active exploitation campaigns targeting CVE-2025-53621, but the vulnerability's nature suggests potential for future exploitation.

Where can I find the official DSpace advisory for CVE-2025-53621?

Refer to the official DSpace security advisory for detailed information and updates regarding CVE-2025-53621: [https://wiki.lyrasis.org/display/DSD/Security+Advisories](https://wiki.lyrasis.org/display/DSD/Security+Advisories)

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
Java / Maven

Detecte esta CVE no seu projeto

Envie seu arquivo pom.xml e descubra na hora se você está afetado.

Enviar pom.xmlFormatos suportados: pom.xml · build.gradle
ao vivoverificação gratuita

Escaneie seu projeto Java / Maven agora — sem conta

Envie seu pom.xml e receba o relatório de vulnerabilidades instantaneamente. Sem conta. Enviar o arquivo é só o começo: com uma conta você obtém monitoramento contínuo, alertas por Slack/e-mail, relatórios multi-projeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...