高危GeoServer漏洞（CVE-2025-58360）允许未认证XXE攻击以窃取文件与发动SSRF

GeoServer的维护者发布了一项重要的安全公告，涉及一个高危漏洞，可能允许未经身份验证的攻击者窃取敏感文件或使服务器崩溃。该漏洞影响GeoServer，这是一个广泛部署的、用Java编写的开源软件服务器，允许用户共享和编辑地理空间数据。

该漏洞被分配标识符CVE-2025-58360，CVSS评分为8.2，是一个位于Web地图服务（WMS）中的XML外部实体（XXE）漏洞。

问题源于服务器处理数据请求的方式。根据公告，“应用程序通过特定端点/geoserver/wms操作GetMap接受XML输入。” 关键的安全缺陷在于“此输入未得到充分清理或限制，允许攻击者在XML请求中定义外部实体。”

XXE攻击利用“配置不当的XML解析器”欺骗服务器处理恶意引用。当被成功利用时，对于托管空间数据基础设施的组织来说，后果可能很严重。公告警告称，“此攻击可能导致机密数据泄露、拒绝服务、从解析器所在机器的角度进行端口扫描以及其他系统影响。” 具体来说，远程攻击者可以利用此漏洞：

• 直接从服务器的文件系统中读取任意文件。
• 进行服务器端请求伪造（SSRF），以探测和与防火墙后的内部系统交互。
• 通过耗尽服务器资源执行拒绝服务（DoS）攻击。

运行GeoServer的系统管理员被敦促立即打补丁。该漏洞可通过升级到最新的安全版本来解决。项目开发人员声明：“请更新至GeoServer 2.25.6、GeoServer 2.26.3 或 GeoServer 2.27.0。”

未能应用这些更新将使“WMS GetMap”操作暴露，其中“XXE漏洞可用于从服务器的文件系统检索任意文件。”