Apache Jackrabbit bis 2.20.16/2.22.0/2.23.1-beta XML External Entity
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als problematisch eingestuft wurde, wurde in Apache Jackrabbit bis 2.20.16/2.22.0/2.23.1-beta gefunden. Dies betrifft einen unbekannten Teil. Durch Manipulation mit unbekannten Daten kann eine XML External Entity-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2025-53689 vorgenommen. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
In Apache Jackrabbit bis 2.20.16/2.22.0/2.23.1-beta wurde eine problematische Schwachstelle entdeckt. Dabei geht es um ein unbekannter Codeteil. Mittels Manipulieren mit einer unbekannten Eingabe kann eine XML External Entity-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-611. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Blind XXE Vulnerabilities in jackrabbit-spi-commons and jackrabbit-core in Apache Jackrabbit < 2.23.2 due to usage of an unsecured document build to load privileges.
Users are recommended to upgrade to versions 2.20.17 (Java 8), 2.22.1 (Java 11) or 2.23.2 (Java 11, beta versions), which fix this issue. Earlier versions (up to 2.20.16) are not supported anymore, thus users should update to the respective supported version.Die Schwachstelle wurde durch Dylan Pindur und Adam Kues öffentlich gemacht. Bereitgestellt wird das Advisory unter lists.apache.org. Die Verwundbarkeit wird seit dem 08.07.2025 als CVE-2025-53689 geführt. Sie gilt als schwierig ausnutzbar. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 298174 (Atlassian Confluence 7.13 < 9.2.11 / 9.3.1 < 10.1.0 (CONFSERVER-101827)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Aktualisieren auf die Version 2.20.17, 2.22.1 oder 2.23.2-beta vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (298174), EUVD (EUVD-2025-21327) und CERT Bund (WID-SEC-2025-1547) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Betroffen
- Apache Jackrabbit Oak
Produkt
Hersteller
Name
Version
- 2.0
- 2.1
- 2.2
- 2.3
- 2.4
- 2.5
- 2.6
- 2.7
- 2.8
- 2.9
- 2.10
- 2.11
- 2.12
- 2.13
- 2.14
- 2.15
- 2.16
- 2.17
- 2.18
- 2.19
- 2.20
- 2.20.0
- 2.20.1
- 2.20.2
- 2.20.3
- 2.20.4
- 2.20.5
- 2.20.6
- 2.20.7
- 2.20.8
- 2.20.9
- 2.20.10
- 2.20.11
- 2.20.12
- 2.20.13
- 2.20.14
- 2.20.15
- 2.20.16
- 2.21
- 2.22.0
- 2.23.1-beta
Lizenz
Webseite
- Hersteller: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.6VulDB Meta Temp Score: 4.4
VulDB Base Score: 4.6
VulDB Temp Score: 4.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: XML External EntityCWE: CWE-611 / CWE-610
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 298174
Nessus Name: Atlassian Confluence 7.13 < 9.2.11 / 9.3.1 < 10.1.0 (CONFSERVER-101827)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Jackrabbit 2.20.17/2.22.1/2.23.2-beta
Timeline
08.07.2025 CVE zugewiesen14.07.2025 Advisory veröffentlicht
14.07.2025 VulDB Eintrag erstellt
06.02.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Hersteller: apache.orgAdvisory: lists.apache.org
Person: Dylan Pindur, Adam Kues
Status: Bestätigt
CVE: CVE-2025-53689 (🔒)
GCVE (CVE): GCVE-0-2025-53689
GCVE (VulDB): GCVE-100-316333
EUVD: 🔒
CERT Bund: WID-SEC-2025-1547 - Apache Jackrabbit Oak: Schwachstelle ermöglicht Offenlegung von Informationen
Eintrag
Erstellt: 14.07.2025 14:23Aktualisierung: 06.02.2026 20:02
Anpassungen: 14.07.2025 14:23 (55), 14.07.2025 14:52 (1), 14.07.2025 15:38 (1), 15.07.2025 11:02 (7), 06.02.2026 20:02 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.