Onlangs is een ernstige kwetsbaarheid ontdekt in DSpace, een open source repositorytoepassing. Dit probleem, geclassificeerd als CVE-2025-53622, betreft een path traversal kwetsbaarheid die kan worden misbruikt tijdens het importeren van een Simple Archive Format (SAF)-pakket. Deze kwetsbaarheid stelt een aanvaller in staat om, via een specifiek samengesteld pakket, gevoelige bestanden van de server waarop DSpace draait te benaderen als deze bestanden toegankelijk zijn voor de Tomcat-gebruiker.
Overzicht
DSpace versies voor 7.6.4, 8.2 en 9.1 zijn vatbaar voor dit probleem. Het betreft path traversal tijdens de import van een archief, mogelijk gemaakt door verwijzingen in het ‘contents’ bestand van een SAF-pakket naar systeemfiles. Deze kwetsbaarheid heeft een medium impactscore van 5.2 volgens CVSS v3.1, voornamelijk omdat er een hoge mate van vertrouwelijkheidimpact kan zijn.
Aanbevelingen
- Upgrade onmiddellijk naar DSpace versie 7.6.4, 8.2 of 9.1 om direct beschermd te zijn tegen deze kwetsbaarheid.
- Indien upgraden niet direct mogelijk is, kan een handmatige patch in de backend worden toegepast. Zie de beschikbare pull requests voor details.
- Controleer zorgvuldig alle SAF-archieven afkomstig van externe bronnen voordat ze worden geïmporteerd, en zorg ervoor dat ze geen verwijzingen bevatten naar systeemfiles buiten het SAF-archief.
Bronnen
- GitHub beveiligingsadvies
- Pull request 11036
- Patch voor pull request 11036
- Pull request 11037
- Patch voor pull request 11037
- Pull request 11038
- Patch voor pull request 11038
Vraag en Antwoord
Wat is CVE-2025-53622?
CVE-2025-53622 is een path traversal kwetsbaarheid ontdekt in DSpace, een open source repositorytoepassing die digitale middelen toegankelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-53622?
Systemen die DSpace draaien in de versies ouder dan 7.6.4, tussen 8.0 en 8.2, en tussen 9.0 en 9.1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, updates zijn beschikbaar in de versies 7.6.4, 8.2 en 9.1. Er zijn ook handmatige patches beschikbaar voor systemen die niet onmiddellijk kunnen upgraden.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige systeemfiles lezen door een gemanipuleerd archief te importeren dat verwijzingen bevat naar dergelijke bestanden, mits uitgevoerd door een beheerder.
