CVE-2025-58360 - GeoServer易受通过WMS GetMap功能发起的未授权XML外部实体攻击

概述

GeoServer是一个允许用户共享和编辑地理空间数据的开源服务器。从版本2.26.0到2.26.2之前，以及2.25.6之前，存在一个XML外部实体漏洞。应用程序通过特定的端点 /geoserver/wms 操作 GetMap 接受XML输入。然而，此输入未得到充分清理或限制，允许攻击者在XML请求中定义外部实体。此问题已在GeoServer 2.25.6、GeoServer 2.26.3和GeoServer 2.27.0中修复。

发布日期： 2025年11月25日 21:15 最后修改日期： 2025年11月25日 22:16 可远程利用： 是！ 信息来源： security-advisories@github.com

受影响产品

以下产品受到CVE-2025-58360漏洞的影响。

ID	供应商	产品	操作
1	Osgeo	geoserver

总计受影响供应商：1 | 产品：1

CVSS评分

通用漏洞评分系统是用于评估软件和系统中漏洞严重程度的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS评分。

评分	版本	严重性	向量	可利用性评分	影响评分	来源
8.2	CVSS 3.1	高		3.9	4.2	security-advisories@github.com

解决方案

更新GeoServer到已修复的版本以解决XML外部实体漏洞。

更新GeoServer到版本2.25.6或更高版本。
更新GeoServer到版本2.26.3或更高版本。
更新GeoServer到版本2.27.0或更高版本。

公开的PoC/漏洞利用

可在Github上获取 CVE-2025-58360在Github上有1个公开的PoC/漏洞利用。请转到“公开漏洞利用”选项卡查看列表。

参考链接（公告、解决方案和工具）

这里，您将找到一系列精心挑选的外部链接，提供与CVE-2025-58360相关的深入信息、实用解决方案和有价值的工具。

URL	资源
https://github.com/geoserver/geoserver/security/advisories/GHSA-fjf5-xgmq-5525
https://osgeo-org.atlassian.net/browse/GEOS-11682

CWE - 通用弱点枚举

CVE标识特定的漏洞实例，而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-58360与以下CWE相关联：

CWE-611: XML外部实体引用的不当限制

通用攻击模式枚举和分类

通用攻击模式枚举和分类存储攻击模式，这些模式描述了攻击者利用CVE-2025-58360弱点所采用的常见属性和方法。

CAPEC-221: 数据序列化外部实体膨胀

漏洞时间线详情

漏洞历史记录详情有助于了解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

操作	类型	新值
新增	描述	GeoServer是一个开源服务器，允许用户共享和编辑地理空间数据。从版本2.26.0到2.26.2之前，以及2.25.6之前，存在一个XML外部实体漏洞。应用程序通过特定的端点/geoserver/wms操作GetMap接受XML输入。然而，此输入未得到充分清理或限制，允许攻击者在XML请求中定义外部实体。此问题已在GeoServer 2.25.6、GeoServer 2.26.3和GeoServer 2.27.0中修复。
新增	CVSS V3.1	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
新增	CWE	CWE-611
新增	参考链接	https://github.com/geoserver/geoserver/security/advisories/GHSA-fjf5-xgmq-5525
新增	参考链接	https://osgeo-org.atlassian.net/browse/GEOS-11682

漏洞评分详情

CVSS 3.1

基础CVSS评分：8.2

攻击向量/攻击复杂度/所需权限/用户交互/范围/机密性影响/完整性影响/可用性影响 攻击向量：网络/相邻/本地/物理攻击复杂度：低/高所需权限：无/低/高用户交互：无/需要范围：已更改/未更改机密性影响：高/低/无完整性影响：高/低/无可用性影响：高/低/无