CVE-2025-53622

Nome do Software Vulnerável e Versões Afetadas Versões do DSpace anteriores à 7.6.4 Versões do DSpace anteriores à 8.2 Versões do DSpace anteriores à 9.1

Descrição O DSpace é uma aplicação de repositório que fornece acesso a recursos digitais. Existe uma vulnerabilidade de path traversal durante a importação de um pacote no formato Simple Archive Format (SAF), acessível via linha de comando (comando ./dspace import) ou pela interface de usuário "Batch Import (Zip)". Um atacante pode criar um pacote SAF malicioso onde o arquivo contents referencia arquivos do sistema usando sequências de travessia relativas, potencialmente levando à divulgação de conteúdo sensível, incluindo arquivos arbitrários ou configurações do servidor. O recurso de importação SAF/Batch Import (Zip) é restrito a administradores do site e do sistema, exigindo confiança no administrador e a iniciação do processo de importação por parte deste para explorar esta vulnerabilidade.

Recomendações Atualize para a versão 7.6.4 ou posterior do DSpace. Atualize para a versão 8.2 ou posterior do DSpace. Atualize para a versão 9.1 ou posterior do DSpace. Os administradores devem inspecionar cuidadosamente qualquer pacote SAF que não tenham criado eles mesmos antes de importar, prestando muita atenção ao arquivo contents para validar se ele não referencia arquivos fora dos pacotes SAF.