【误差通告】GeoServer XML外部实体注入误差(CVE-2025-58360)

宣布时间 2025-11-26

一、误差概述


误差名称

GeoServer XML外部实体注入误差

CVE   ID

CVE-2025-58360

误差类型

XXE 注入

发明时间

2025-11-26

误差评分

8.2

误差品级

高危

攻击向量

网络

所需权限

使用难度

用户交互

不需要

PoC/EXP

已果真

在野使用

未发明


GeoServer是一个开源的地理信息系统(GIS)服务器,主要用于宣布、共享和编辑地理空间数据。它支持多种标准的开放地理数据名堂,包括WMS(Web Map Service)、WFS(Web Feature Service)和WCS(Web Coverage Service),能够与种种GIS客户端举行交互。GeoServer通过提供一个基于标准的接口,使用户能够利便地会见和治理地图数据,普遍应用于地理信息系统、地图服务和空间数据的共享与剖析。


2025年11月26日,尊龙凯时集团VSRC监测到GeoServer保存XML外部实体注入误差,该误差源于应用程序通过特定的/geoserver/wms接口吸收XML输入,但未对输入举行充分的整理或限制,允许攻击者在XML请求中界说外部实体。XML外部实体攻击是指当包括对外部实体引用的XML输入被设置不当的XML剖析器处置惩罚时,可能引发的攻击。这类攻击可能导致神秘数据泄露、服务拒绝(DoS)、端口扫描等严重清静问题。攻击者通过使用该误差,可以会见服务器文件系统中的恣意文件,举行服务器端请求伪造(SSRF),与内部系统交互,甚至提倡资源耗尽型的DoS攻击,从而造成系统不可用。


二、影响规模


2.26.0 <= docker.osgeo.org/geoserver <= 2.26.1
docker.osgeo.org/geoserver <= 2.25.5
2.26.0 <= org.geoserver.web:gs-web-app <= 2.26.1
org.geoserver.web:gs-web-app <= 2.25.5
2.26.0 <= org.geoserver:gs-wms <= 2.26.1
org.geoserver:gs-wms <= 2.25.5


三、清静步伐


3.1 升级版本


官方已宣布修复补丁,以修复该误差。

docker.osgeo.org/geoserver >= 2.26.2
docker.osgeo.org/geoserver >= 2.25.6
org.geoserver.web:gs-web-app >= 2.26.2
org.geoserver.web:gs-web-app >= 2.25.6
org.geoserver:gs-wms >= 2.26.2
org.geoserver:gs-wms >= 2.25.6


下载链接:https://github.com/geoserver/geoserver/releases/


3.2 暂时步伐


暂无。


3.3 通用建议


? 按期更新系统补丁,镌汰系统误差,提升服务器的清静性。
增强系统和网络的会见控制,修改防火墙战略,关闭非须要的应用端口或服务,镌汰将危险服务(如SSH、RDP等)袒露到公网,镌汰攻击面。
使用企业级清静产品,提升企业的网络清静性能。
增强系统用户和权限治理,启用多因素认证机制和最小权限原则,用户和软件权限应坚持在最低限度。
启用强密码战略并设置为按期修改。


3.4 参考链接


https://github.com/geoserver/geoserver/security/advisories/GHSA-fjf5-xgmq-5525/
https://nvd.nist.gov/vuln/detail/CVE-2025-58360