GeoServer 存在通过 WMS GetMap 功能进行的未经认证 XML 外部实体攻击漏洞

漏洞标识： CVE-2025-58360

漏洞描述： 发现了一个 XML 外部实体漏洞。应用程序通过特定端点 /geoserver/wms 的 GetMap 操作接收 XML 输入。然而，此输入未得到充分清理或限制，使得攻击者能够在 XML 请求中定义外部实体。

XML 外部实体攻击是一种发生在弱配置的 XML 处理器处理包含外部实体引用的 XML 输入时的攻击。此类攻击可能导致机密数据泄露、拒绝服务、从解析器所在机器的视角进行端口扫描以及其他系统影响。

通过利用此漏洞，攻击者可以：

• 读取服务器文件系统中的任意文件。
• 执行服务器端请求伪造攻击，与内部系统交互。
• 通过耗尽资源执行拒绝服务攻击。

影响版本：

• org.geoserver.web:gs-web-app 与 org.geoserver:gs-wms：
  • 受影响版本：>= 2.26.0, < 2.26.2 及 < 2.25.6
  • 已修复版本：2.26.2 及 2.25.6

解决方案： 更新至 GeoServer 2.25.6、GeoServer 2.26.3 或 GeoServer 2.27.0。

影响： 此 XXE 漏洞可用于从服务器的文件系统中获取任意文件。

参考链接：

• https://osgeo-org.atlassian.net/browse/GEOS-11682
• XBOW-024-081
• GHSA-fjf5-xgmq-5525

免责声明： 此漏洞是使用 XBOW（一个自主发现并利用潜在安全漏洞的系统）检测到的。在提交之前，安全研究员已对发现进行了彻底的审查和验证。虽然 XBOW 旨在自主工作，但在其开发过程中，人类专家确保了报告的准确性和相关性。

漏洞详细信息：

• 严重程度： 高
• CVSS 总分： 8.2
• CVSS v3.1 向量： AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
  • 攻击向量：网络
  • 攻击复杂度：低
  • 所需权限：无
  • 用户交互：无
  • 范围：未改变
  • 机密性影响：高
  • 完整性影响：无
  • 可用性影响：低
• 弱点枚举： CWE-611 - XML外部实体引用的不当限制
• 报告者： xbow-security
• 协调者： jodygarnett