CVE-2025-47293

Nome do Software Vulnerável e Versões Afetadas Versões do PowSyBl anteriores à 6.7.2

Descrição O problema refere-se a um ataque de entidade externa XML (XXE) e um ataque de falsificação de solicitação do lado do servidor (SSRF) em determinadas partes da análise de XML do powsybl-core. Isso permite que um atacante eleve seus privilégios para ler arquivos para os quais não possui permissão, incluindo arquivos sensíveis no sistema. A classe vulnerável é com.powsybl.commons.xml.XmlReader, a qual é considerada não confiável em casos de uso onde usuários não confiáveis podem submeter seu XML aos métodos vulneráveis. Isso pode ocorrer em uma aplicação multi-tenant que hospeda muitos usuários diferentes, possivelmente com diferentes níveis de privilégio.

Recomendações Para versões anteriores à 6.7.2, atualize para com.powsybl:powsybl-commons: 6.7.2 ou superior para corrigir o problema. Como solução temporária, considere restringir o acesso à classe com.powsybl.commons.xml.XmlReader para minimizar o risco de exploração. Evite permitir que usuários não confiáveis importem arquivos de rede CGMES ou XIIDM não confiáveis até que o problema seja resolvido.