DSpace heeft een kritieke kwetsbaarheid waarbij het mogelijk is om een XML External Entity (XXE) injektie uit te voeren via de import van Simple Archive Format (SAF) of externe bronnen. Dit kan leiden tot ongewilde toegang tot gevoelige servergegevens wanneer externe entiteiten niet goed worden uitgeschakeld tijdens het verwerken van XML-bestanden.
Overzicht
De kwetsbaarheid in DSpace treft alle versies vóór 7.6.4, 8.2 en 9.1. Verkeerd geconfigureerde XML parsers kunnen verbindingen maken met malafide sites of lokale paden toegankelijk maken voor een aanvaller, wat kan resulteren in het lekken van gevoelige inhoud.
Aanbevelingen
- Update naar DSpace versie 7.6.4, 8.2 of 9.1 om de kwetsbaarheid te verhelpen.
- Inspecteer zorgvuldig alle SAF-archieven voordat ze geïmporteerd worden.
- Deactiveer indien mogelijk getroffen externe servicetoepassingen om risico’s te minimaliseren.
- Als een upgrade niet meteen mogelijk is, overweeg dan handmatige patches toe te passen op de DSpace-backend.
Bronnen
- Beveiligingsadvies op GitHub
- Pull request 11032
- Patch voor pull request 11032
- Pull request 11034
- Patch voor pull request 11034
- Pull request 11035
- Patch voor pull request 11035
Vraag en Antwoord
Wat is CVE-2025-53621?
Het betreft een kwetsbaarheid in DSpace software waarbij XML External Entity injecties kunnen worden uitgevoerd, resulterend in ongewilde toegang tot gevoelige gegevens.
Welke systemen zijn kwetsbaar voor CVE-2025-53621?
DSpace versies vóór 7.6.4, 8.2, en 9.1 zijn kwetsbaar voor deze fout.
Bestaat er al een patch of beveiligingsupdate?
Ja, DSpace versies 7.6.4, 8.2 en 9.1 bevatten de patch om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot gevoelige servergegevens en zich door verbindingen met malafide sites toegang verschaffen tot vertrouwelijke informatie.
