GeoServer 易受通过 WMS GetMap 功能的未经认证 XML 外部实体 (XXE) 攻击
CVE-2025-58360 · 高严重性 · GitHub 已审阅
发布日期: 2025年11月25日 相关项目: geoserver/geoserver 最后更新: 2025年11月27日
漏洞详情
受影响的包
- maven: org.geoserver.web:gs-web-app
- 受影响版本:
>= 2.26.0, < 2.26.2以及< 2.25.6 - 已修复版本:
2.26.2,2.25.6
- 受影响版本:
- maven: org.geoserver:gs-wms
- 受影响版本:
>= 2.26.0, < 2.26.2以及< 2.25.6 - 已修复版本:
2.26.2,2.25.6
- 受影响版本:
描述
发现一个 XML 外部实体 (XXE) 漏洞。应用程序通过特定端点 /geoserver/wms 的 GetMap 操作接受 XML 输入。然而,此输入没有得到充分的清理或限制,使得攻击者能够在 XML 请求中定义外部实体。
XML 外部实体攻击是一种发生在弱配置的 XML 解析器处理包含对外部实体引用的 XML 输入时的攻击类型。此攻击可能导致机密数据泄露、拒绝服务、从解析器所在机器的视角进行端口扫描以及其他系统影响。
通过利用此漏洞,攻击者可以:
- 从服务器的文件系统中读取任意文件。
- 发起服务器端请求伪造 (SSRF) 以与内部系统交互。
- 通过耗尽资源执行拒绝服务 (DoS) 攻击。
解决方案 更新至 GeoServer 2.25.6、GeoServer 2.26.3 或 GeoServer 2.27.0。
影响 此 XXE 漏洞可被用于从服务器的文件系统中检索任意文件。
参考链接
- https://osgeo-org.atlassian.net/browse/GEOS-11682
- XBOW-024-081
- GHSA-fjf5-xgmq-5525
- https://nvd.nist.gov/vuln/detail/CVE-2025-58360
免责声明 此漏洞是使用 XBOW(一个自主发现并利用潜在安全漏洞的系统)检测到的。该发现已由安全研究人员在提交前进行了彻底审查和验证。虽然 XBOW 旨在自主工作,但在其开发过程中,人类专家确保了报告的准确性和相关性。
安全评分与信息
严重等级: 高 CVSS 总体评分: 8.2 / 10
CVSS v3 基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:无
- 可用性影响:低
CVSS 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
EPSS 分数: 7.964% (第92百分位)
此分数估计了该漏洞在未来30天内被利用的概率。数据由 FIRST 提供。
弱点类型
- CWE-611:对 XML 外部实体引用的限制不当
- 产品处理一个可以包含带有 URI 的 XML 实体的 XML 文档,这些 URI 会解析到预期控制范围之外的文档,导致产品将不正确的文档嵌入其输出中。
标识符
- CVE ID: CVE-2025-58360
- GHSA ID: GHSA-fjf5-xgmq-5525
源代码仓库
- geoserver/geoserver
致谢
- 报告者: xbow-security
- 协调员: jodygarnett