Vulnerabilidad en ZOO-Project (CVE-2025-25284)

ZOO-Project es una plataforma de procesamiento de código abierto, publicada bajo la licencia MIT/X11. Una vulnerabilidad en la implementación de WPS (Web Processing Service) del proyecto ZOO permite el acceso no autorizado a archivos fuera del directorio previsto a través de path traversal. En concreto, el servicio Gdal_Translate, al procesar archivos VRT (Virtual Format), no valida correctamente las rutas de archivo a las que se hace referencia en el elemento VRTRasterBand, lo que permite a los atacantes leer archivos arbitrarios en el sistema. La vulnerabilidad existe porque el servicio no desinfecta correctamente el parámetro SourceFilename en los archivos VRT, lo que permite secuencias de navegación por path traversal (../). Cuando se combina con las capacidades de gestión de datos sin procesar de VRT, esto permite leer archivos arbitrarios como datos binarios sin procesar y convertirlos a formato TIFF, exponiendo de manera efectiva su contenido. Esta vulnerabilidad es particularmente grave porque permite a los atacantes leer archivos sensibles del sistema, lo que potencialmente expone datos de configuración, credenciales u otra información confidencial almacenada en el servidor. Un atacante no autenticado puede leer archivos arbitrarios del sistema a través de path traversal, lo que podría permitirle acceder a información confidencial, como archivos de configuración, credenciales u otros datos confidenciales almacenados en el servidor. La vulnerabilidad no requiere autenticación y se puede explotar de forma remota a través del servicio WPS. Este problema se ha solucionado en el commit `5f155a8` y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.