CVE-2025-52888

Nome do Software Vulnerável e Versões Afetadas: Versões do Allure 2 anteriores à 2.34.1

Descrição: Existe uma vulnerabilidade crítica de Entidade Externa XML (XXE) no plugin xunit-xml-plugin utilizado pelo Allure 2. O plugin não configura o analisador XML (DocumentBuilderFactory) de forma segura e permite a expansão de entidades externas ao processar arquivos .xml de resultados de testes. Isso permite que atacantes leiam arquivos arbitrários do sistema de arquivos e potencialmente desencadeiem falsificação de solicitação do lado do servidor (SSRF).

Recomendações: Para versões anteriores à 2.34.1, atualize para a versão 2.34.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao plugin xunit-xml-plugin para minimizar o risco de exploração. Evite utilizar o DocumentBuilderFactory com configurações padrão no plugin afetado até que o problema seja resolvido.