Vulnerabilidad en Sulu (CVE-2025-47778)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
14/05/2025
Última modificación:
16/05/2025
Descripción
Sulu es un sistema de gestión de contenido PHP de código abierto basado en el framework Symfony. A partir de las versiones 2.5.21, 2.6.5 y 3.0.0-alpha1, un usuario administrador puede subir archivos SVG que pueden cargar datos externos mediante la librería XML DOM. Esto puede utilizarse para referencias a entidades externas XML inseguras. El problema se ha corregido en las versiones 2.6.9, 2.5.25 y 3.0.0-alpha3. Como solución alternativa, se puede corregir manualmente el archivo de efectos `src/Sulu/Bundle/MediaBundle/FileInspector/SvgFileInspector.php`.
Impacto
Puntuación base 4.0
6.10
Gravedad 4.0
MEDIA