Vulnerabilidad en DSpace (CVE-2025-53621)

El software de código abierto DSpace es una aplicación de repositorio que proporciona acceso duradero a recursos digitales. Dos posibilidades relacionadas de inyección de Entidades Externas XML (XXE) afectan a todas las versiones de DSpace anteriores a las 7.6.4, 8.2 y 9.1. Las entidades externas no se deshabilitan al analizar archivos XML durante la importación de un archivo (en formato de archivo simple), ya sea desde la línea de comandos (comando `./dspace import`) o desde la función de interfaz de usuario "Importación por lotes (Zip)". Las entidades externas tampoco se deshabilitan explícitamente al analizar respuestas XML de algunos servicios upstream (ArXiv, Crossref, OpenAIRE, Creative Commons) utilizados en la importación desde fuentes externas a través de la interfaz de usuario o la API REST. Una inyección XXE en estos archivos puede provocar una conexión al sitio web de un atacante o a una ruta local legible para el usuario de Tomcat, con la posibilidad de inyectar contenido en un campo de metadatos. En este último caso, esto puede provocar la divulgación de contenido sensible, incluyendo la recuperación de archivos o configuraciones arbitrarias del servidor donde se ejecuta DSpace. El importador de formato de archivo simple (SAF)/importación por lotes (Zip) solo puede ser utilizado por administradores de sitio (desde la interfaz de usuario/API REST) o administradores de sistema (desde la línea de comandos). Por lo tanto, para explotar esta vulnerabilidad, el payload malicioso tendría que ser proporcionado por un atacante y contar con la confianza de un administrador, quien activaría la importación. La solución está incluida en DSpace 7.6.4, 8.2 y 9.1. Actualice a una de estas versiones. Si no puede actualizar inmediatamente, puede aplicar un parche manual al backend de DSpace. También se pueden aplicar algunas prácticas recomendadas, aunque la protección proporcionada no es tan completa como la de una actualización. Los administradores deben inspeccionar cuidadosamente los archivos SAF (que no hayan creado ellos mismos) antes de importar. Según sea necesario, se pueden deshabilitar los servicios externos afectados para mitigar la posibilidad de que los payloads se entreguen a través de las API de servicios externos.