GeoServer存在未经身份验证的XML外部实体（XXE）攻击漏洞（通过WMS GetMap功能）

漏洞编号

CVE-2025-58360

严重程度

高（CVSS评分：8.2）

漏洞描述

GeoServer存在XML外部实体（XXE）漏洞。应用程序通过特定端点/geoserver/wms的GetMap操作接受XML输入，但输入未得到充分清理或限制，允许攻击者在XML请求中定义外部实体。

XML外部实体攻击是一种攻击类型，当配置不当的XML解析器处理包含外部实体引用的XML输入时会发生。此攻击可能导致：

• 泄露机密数据
• 服务拒绝
• 从解析器所在机器的视角进行端口扫描
• 其他系统影响

通过利用此漏洞，攻击者可以：

• 从服务器文件系统读取任意文件
• 实施服务器端请求伪造（SSRF）以与内部系统交互
• 通过耗尽资源执行拒绝服务（DoS）攻击

受影响版本

gs-web-app 和 gs-wms 包：

• >= 2.26.0, < 2.26.2
• < 2.25.6

已修复版本

• 2.26.2
• 2.25.6

解决方案

升级到以下版本之一：

• GeoServer 2.25.6

• GeoServer 2.27.0

CVSS v3.1 基础指标

• 攻击向量（AV）： 网络（N）
• 攻击复杂度（AC）： 低（L）
• 所需权限（PR）： 无（N）
• 用户交互（UI）： 无（N）
• 范围（S）： 未改变（U）
• 机密性影响（C）： 高（H）
• 完整性影响（I）： 无（N）
• 可用性影响（A）： 低（L）

弱点标识

• CWE-ID： CWE-611
• 描述： XML外部实体引用的不当限制。产品处理的XML文档可能包含解析到预期控制范围之外文档的URI的XML实体，导致产品将错误文档嵌入其输出中。

参考链接

• https://osgeo-org.atlassian.net/browse/GEOS-11682
• XBOW-024-081
• https://nvd.nist.gov/vuln/detail/CVE-2025-58360
• GHSA-fjf5-xgmq-5525

备注

此漏洞由XBOW系统（一种自主发现并利用潜在安全漏洞的系统）检测发现。该发现已由安全研究人员在提交前进行了彻底审查和验证。