CVE: CVE-2025-27136

Descrizione: LocalS3 è un servizio di mock per test e sviluppo locale per l’autenticazione e la localizzazione. Prima della versione 1.21, l’endpoint per la creazione del bucket del servizio LocalS3 è vulnerabile a injection di Entity External XML (XXE). Quando si elabora il documento XML di configurazione CreaBucketConfiguration durante la creazione del bucket, il servizio utilizza un parser XML configurato per risolvere entità esterne. Ciò consente a un attaccante di dichiarare un’entità esterna che fa riferimento a un URL interno, che il server tenterà di recuperare quando si analizza il documento XML. La vulnerabilità si verifica specificamente nel processo di limitazione della posizione, dove il parser XML risolve le entità esterne senza una convalida o restrizioni appropriate. Quando l’entità esterna viene risolta, il server invia una richiesta HTTP all’URL specificato e include il contenuto della risposta nel documento XML elaborato. Questo può essere sfruttato per eseguire attacchi di forzatura di richiesta lato server (SSRF) consentendo a un attaccante di effettuare richieste a servizi interni o risorse non accessibili da reti esterne. L’attaccante ha bisogno solo di poter inviare richieste HTTP al servizio LocalS3 per sfruttare questa vulnerabilità.

Vettore di attacco

Riferimenti esterni

• https://github.com/Robothy/local-s3/security/advisories/GHSA-g6wm-2v64-wq36
• https://github.com/Robothy/local-s3/commit/d6ed756ceb30c1eb9d4263321ac683d734f8836f

Prodotti interessati

• Robothy – local-s3

Relazioni con altri prodotti

Produttore:Robothy
Prodotto: local-s3
Anno: 2025
CWE: CWE-611
CVSS: 5.5