CISA紧急警告：GeoServer高危XXE漏洞正被积极利用

美国网络安全和基础设施安全局（CISA）于周四将一个影响 OSGeo GeoServer 的高危安全漏洞添加至其已知已利用漏洞（KEV）目录，原因是有证据表明该漏洞正在被积极利用。

该漏洞编号为 CVE-2025-58360（CVSS评分为8.2），是一个未经身份验证的XML外部实体（XXE）漏洞。它影响所有 2.25.5及之前 的版本，以及从 2.26.0 到 2.26.1 的版本。该漏洞已在版本 2.25.6、2.26.2、2.27.0、2.28.0 和 2.28.1 中得到修复。人工智能驱动的漏洞发现平台 XBOW 因报告此问题而受到致谢。

漏洞技术详情

CISA表示：“OSGeo GeoServer 包含一个不当限制XML外部实体引用的漏洞，当应用程序通过特定端点 /geoserver/wms 的 GetMap 操作接受XML输入时，可能允许攻击者在XML请求中定义外部实体。”

以下软件包受此漏洞影响：

• docker.osgeo.org/geoserver
• org.geoserver.web:gs-web-app (Maven)
• org.geoserver:gs-wms (Maven)

该开源软件的维护者在上个月底发布的一份警报中指出，成功利用此漏洞可能允许攻击者：

1. 访问服务器文件系统中的任意文件。
2. 发起服务器端请求伪造（SSRF） 攻击，与内部系统进行交互。
3. 通过耗尽资源发起拒绝服务（DoS） 攻击。

已知利用情况与相关威胁

目前尚不清楚该安全缺陷在现实世界攻击中是如何被滥用的具体细节。然而，加拿大网络安全中心在2025年11月28日发布的一份公告中表示，“针对CVE-2025-58360的漏洞利用程序已在野外存在。”

值得注意的是，同一软件中的另一个严重漏洞（CVE-2024-36401，CVSS评分为9.8）在过去一年中已被多个威胁行为者利用。美国联邦民事行政部门机构被建议在2026年1月1日之前应用必要的修复程序，以确保其网络安全。