CVE-2025-27136

Nome do Software Vulnerável e Versões Afetadas Versões do LocalS3 anteriores à 1.21

Descrição O problema envolve injeção de Entidade Externa XML (XXE) no endpoint de criação de bucket. Ao processar o documento XML CreateBucketConfiguration, o analisador XML do serviço resolve entidades externas sem a validação adequada, permitindo que um atacante declare uma entidade externa que referencie uma URL interna. Isso possibilita ataques de Falsificação de Solicitação no Lado do Servidor (SSRF), efetuando solicitações a serviços ou recursos internos que não deveriam ser acessíveis a partir de redes externas, e potencialmente vazando informações sensíveis.

Recomendações Para versões anteriores à 1.21, atualize para a versão 1.21 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint de criação de bucket para minimizar o risco de exploração. Evite usar o documento XML CreateBucketConfiguration com entidades externas até que o problema seja resolvido.