平台
java
组件
com.powsybl:powsybl-commons
修复版本
6.7.3
6.7.2
CVE-2025-47293 描述了 com.powsybl.powsybl-commons 组件中的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者利用 XML 解析过程读取未经授权的文件,从而可能导致敏感信息泄露。受影响的版本包括 6.7.1 及更早版本。建议升级至 6.7.2 版本以解决此问题。
该 SSRF 漏洞源于 com.powsybl.commons.xml.XmlReader 类中存在的问题,该类在处理来自不受信任用户的 XML 输入时存在安全风险。攻击者可以通过构造恶意的 XML 请求,诱使服务器向内部网络或外部资源发起请求,从而读取敏感文件,例如包含凭据或配置信息的系统文件。这种攻击可能导致信息泄露、权限提升,甚至可能被用于进一步的攻击活动。由于该组件可能被用于多租户应用程序,因此潜在影响范围可能非常广泛。
目前尚未公开发现针对此漏洞的利用代码,但由于 SSRF 漏洞的普遍性和潜在影响,建议尽快采取缓解措施。该漏洞已于 2025 年 6 月 19 日公开披露。CISA 尚未将其添加到 KEV 目录,但其低 CVSS 评分表明攻击概率相对较低。
Applications utilizing com.powsybl:powsybl-commons versions 6.7.1 or earlier are at risk. This includes Java-based applications, particularly those that process XML data from untrusted sources, such as multi-tenant applications or those integrating with external systems. Legacy systems that have not been regularly updated are also at increased risk.
• java / server:
find / -name "powsybl-commons-*.jar" -print0 | xargs -0 java -jar <jar_file> -Djava.security.xml.external.entities=null -Djava.security.xml.external.dtd=null• linux / server:
journalctl -u <application_name> | grep -i "xml parsing" • generic web:
curl -I <application_url>/xml-endpoint | grep -i "Server: Powsybl"disclosure
漏洞利用状态
EPSS
0.07% (22% 百分位)
CISA SSVC
最有效的缓解措施是升级到 6.7.2 或更高版本,该版本修复了该漏洞。如果无法立即升级,可以考虑以下临时缓解措施:严格限制 XML 输入的来源,实施输入验证和清理机制,以防止恶意 XML 负载的注入。此外,可以配置网络防火墙或代理服务器,以阻止服务器向未经授权的资源发起请求。监控系统日志,查找异常的网络连接或文件访问行为,有助于及早发现潜在的攻击。
将 powsybl-commons 库更新到 6.7.2 或更高版本。这修复了 XML 阅读器中的 XXE 和 SSRF 漏洞。确保所有使用 powsybl-commons 的依赖项也更新,以避免版本冲突。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-47293 是 com.powsybl.powsybl-commons 组件中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者读取未经授权的文件。
如果您正在使用 com.powsybl.powsybl-commons 的 6.7.1 或更早版本,则可能受到影响。
升级到 6.7.2 或更高版本以修复此漏洞。
目前尚未公开发现针对此漏洞的利用代码,但建议尽快采取缓解措施。
请查阅 com.powsybl 的官方安全公告,以获取有关此漏洞的详细信息和修复说明。
上传你的 pom.xml 文件,立即知道是否受影响。