Vulnerabilidad en TEIGarage (CVE-2025-31497)

TEIGarage es un servicio web y RESTful para transformar, convertir y validar diversos formatos, centrándose en el formato TEI. El Servicio de Conversión de Documentos contiene una vulnerabilidad crítica de inyección de entidades externas XML (XXE) en su funcionalidad de conversión. El servicio procesa archivos XML durante el proceso de conversión, pero no deshabilita el procesamiento de entidades externas, lo que permite a un atacante leer archivos arbitrarios del sistema de archivos del servidor. Esta vulnerabilidad podría permitir a los atacantes leer archivos confidenciales del sistema de archivos del servidor, exponiendo potencialmente archivos de configuración, credenciales u otra información confidencial. Además, dependiendo de la configuración del servidor, esto podría utilizarse para realizar ataques de server-side request forgery (SSRF) al hacer que el servidor se conecte a servicios internos. Este problema está corregido en la versión 1.2.4. Un workaround para esta vulnerabilidad consiste en deshabilitar el procesamiento de entidades externas en el analizador XML mediante la configuración de las funciones de seguridad adecuadas (p. ej., XMLConstants.FEATURE_SECURE_PROCESSING).