CVE-2025-52888

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-52888
Allure 2 is the version 2.x branch of Allure Report, a multi-language test reporting tool. A critical XML External Entity (XXE) vulnerability exists in the xunit-xml-plugin used by Allure 2 prior to version 2.34.1. The plugin fails to securely configure the XML parser (`DocumentBuilderFactory`) and allows external entity expansion when processing test result .xml files. This allows attackers to read arbitrary files from the file system and potentially trigger server-side request forgery (SSRF). Version 2.34.1 contains a patch for the issue.

7.5 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/allure-framework/allure2/commit/cbcb33719851ff70adce85d38e15d20fc58d4eb7
https://github.com/allure-framework/allure2/security/advisories/GHSA-h7qf-qmf3-85qg
Configurations

No configuration.

History

26 Jun 2025, 18:58

Type Values Removed Values Added
Summary
  • (es) Allure 2 es la versión 2.x de Allure Report, una herramienta multilingüe para la generación de informes de pruebas. Existe una vulnerabilidad crítica de Entidad Externa XML (XXE) en el complemento xunit-xml utilizado por Allure 2 en versiones anteriores a la 2.34.1. El complemento no configura de forma segura el analizador XML (`DocumentBuilderFactory`) y permite la expansión de entidades externas al procesar archivos .xml de resultados de pruebas. Esto permite a los atacantes leer archivos arbitrarios del sistema de archivos y, potencialmente, activar server-side request forgery (SSRF). La versión 2.34.1 incluye un parche para este problema.

24 Jun 2025, 20:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-06-24 20:15

Updated : 2025-06-26 18:58

NVD link : CVE-2025-52888

Mitre link : CVE-2025-52888

CVE.ORG link : CVE-2025-52888

JSON object : View

Products Affected

No product.

CWE
CWE-611

Improper Restriction of XML External Entity Reference